De Cyber Security Raad (CSR) wil dat meldingen van datalekken bij de Autoriteit Persoonsgegevens (AP) onder strikte voorwaarden beschikbaar gesteld worden voor wetenschappelijk en statistisch onderzoek. Zo moeten algemene adviezen en aanbevelingen voor verbetering van de beveiliging van persoonsgegevens tot stand komen.
Dit is de kern van een advies dat de CSR op 11 februari (Safer Internet Day) aan minister Grapperhaus van Justitie en Veiligheid heeft overhandigd. Het ‘Advies beschikbaar stellen van datalekmeldingen voor wetenschappelijk onderzoek’ stelt dat gegevens zullen worden ontsloten via het CBS en zullen vooraf zijn ontdaan van persoonsgegevens en bedrijfsnamen. Het onderzoeksvoorstel is tot stand gekomen in nauwe samenwerking tussen de raad en de AP.
Grapperhaus positief over advies
In het advies verzoekt de CSR de minister in te stemmen met het voorgestelde onderzoeksproject alsook om de benodigde financiële middelen hiervoor beschikbaar te stellen. Minister Grapperhaus heeft het advies positief in ontvangst genomen.
Via het project, met een looptijd van anderhalf jaar, moet vastgesteld worden welke inzichten rondom beveiliging van persoonsgegevens kunnen worden afgeleid uit de meldingsdata en/of (en zo ja, onder welke voorwaarden) dit soort analyses structureel kunnen worden uitgevoerd na de projectfase. Hiervoor moet het bestand met datalekmeldingen beschikbaar gesteld worden aan het Centraal Bureau voor de Statistiek (CBS).
Hiermee creëert de AP ook de mogelijkheid dat het bestand voor statistische doeleinden gekoppeld kan worden aan andere relevante databestanden waarover het CBS beschikt. Het CBS heeft veel ervaring met de beveiliging van dit soort bestanden en met het regelen van ‘begeleide toegang’ tot de bestanden, benadrukt de CSR.
De meldplicht datalekken genereert elk jaar veel data rondom veiligheidsincidenten waarbij persoonsgegevens zijn betrokken. De AP heeft in 2019 bijna 27.000 datalekmeldingen ontvangen. Dat is een groei van 29 procent ten opzichte van 2018. Het aantal meldingen stijgt al sinds de invoering van de meldplicht datalekken in 2016.De CSR meent dat een nadere analyse van deze informatie kan leiden tot aanbevelingen ter verbetering van de informatiebeveiliging ter bevordering van de cyberweerbaarheid van onze samenleving.
Informatie over datalekken biedt inzicht
Informatie over datalekken vormt een belangrijke bron voor inzicht in de daadwerkelijke effecten van veiligheidsmaatregelen (of het ontbreken daarvan). Beter onderzoek naar de effecten ervan zorgt ervoor dat organisaties beter weten in welke veiligheidsmaatregelen ze moeten investeren. De raad vindt informatie-uitwisseling van belang om de cyberweerbaarheid van ons land in het algemeen en organisaties in het bijzonder te verhogen en heeft hier in juli 2017 in het CSR-advies ‘Naar een landelijk dekkend stelsel van informatieknooppunten’ bij Justitie en Veiligheid al op aangedrongen.
Het voorstel om datalekmeldingen beschikbaar te stellen voor onderzoeksdoeleinden sluit aan op het in september 2019 gepubliceerde rapport van de WRR met als titel ‘Voorbereiden op digitale ontwrichting’. In dit rapport wordt opgeroepen tot het breder delen van incidentdata. Ook de meldingen van datalekken bij de AP worden daartoe gerekend.
De Cyber Security Raad (CSR) is een nationaal en onafhankelijk adviesorgaan van het kabinet en is samengesteld uit hooggeplaatste vertegenwoordigers van publieke en private organisaties en de wetenschap. De CSR zet zich op strategisch niveau in om de cybersecurity in Nederland te verhogen.
