De Code voor Informatiebeveiliging naar Nederlands recht Koops, Bert Jaap

Tilburg University

De Code voor Informatiebeveiliging naar Nederlands recht Koops, Bert Jaap Published in: Informatiebeveiliging

Publication date: 2003 Link to publication

Citation for published version (APA): Koops, E. J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Informatiebeveiliging, 5, 20-24.

General rights Copyright and moral rights for the publications made accessible in the public portal are retained by the authors and/or other copyright owners and it is a condition of accessing publications that users recognise and abide by the legal requirements associated with these rights. • Users may download and print one copy of any publication from the public portal for the purpose of private study or research • You may not further distribute the material or use it for any profit-making activity or commercial gain • You may freely distribute the URL identifying the publication in the public portal Take down policy If you believe that this document breaches copyright, please contact us providing details, and we will remove access to the work immediately and investigate your claim.

Download date: 05. okt. 2015

Koops, B.J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Verschenen in Informatiebeveiliging, 5, 20-24

De Code voor Informatiebeveiliging naar Nederlands recht Bert-Jaap Koops Dr. B.J. Koops is hoofdonderzoeker bij het Centrum voor Recht, Bestuur en Informatisering van de Universiteit van Tilburg, <[email protected]>. De huidige Code voor Informatiebeveiliging is een Nederlandse vertaling van de Britse BS7799. In die vertaling is een toekomstige uitgave beloofd over de ‘juridische vertaling’ van de standaard naar het Nederlandse recht. Dit artikel vormt die uitgave. Het gaat eerst in op de weinige bepalingen en begrippen uit de Code die onjuist zijn naar Nederlandse recht. Daarna volgt een algemener overzicht van de belangrijkste juridische aspecten rond informatiebeveiliging in Nederland.

1. Achtergrond Ernst Oud1

In 1994 verscheen de eerste versie van de Engelse norm BS7799, die kort daarna als Code voor Informatiebeveiliging in het Nederlands werd vertaald. De Code voor Informatiebeveiliging (CvIB) wordt uitgegeven door NEN, het Nederlands Normalisatie Instituut, te Delft. NEN verzorgt tevens het secretariaat van normcommissie 381027 waaronder de CvIB ressorteert. Deze normcommissie vormt de Nederlandse vertegenwoordiging in ISO/IEC-subcommissie 27, die de ISO-normen op het gebied van informatiebeveiliging beheert. De eerste versie van BS7799 was gericht op Engelse wet- en regelgeving. In de Nederlandse vertaling uit 1994 werd waar nodig verwezen naar toepasselijke Nederlandse wet- en regelgeving. In 1999 verscheen een herziening van BS7799 Part 1, die daarna ook in het Nederlands beschikbaar kwam. De juridische aspecten in die versie van BS7799 zijn op verzoek van de internationale BS7799-Gebruikersgroep meer internationaal verwoord. Zo is bijvoorbeeld geen sprake meer van het expliciet noemen van de Engelse Data Protection Act, maar wordt melding gemaakt van het meer algemene ‘legislation placing controls on the processing and transmission of personal data’. Bij de vertaling van de versie uit 1999 van BS7799 naar het Nederlands is indertijd in de redactiecommissie die belast was met de vertaling discussie ontstaan over de juridische juistheid van de letterlijke vertaling voor de Nederlandse situatie. Een letterlijke vertaling 1

Deze paragraaf is geschreven door Ing. Ernst J. Oud CISA, lid van de NEN-normcommissie 381027.

CENTRUM VOOR RECHT BESTUUR EN INFORMATISERING Postbus 90153 • 5000 LE Tilburg www.uvt.nl/crbi

-1-

Koops, B.J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Verschenen in Informatiebeveiliging, 5, 20-24

zou immers kunnen leiden tot begrippen of bepalingen die naar Nederlands recht onjuist of minder geschikt zijn. Als gevolg hiervan bevat de meest recente versie van de Code voor Informatiebeveiliging de volgende opmerking: ‘Vanwege de vertaling sluiten juridisch-organisatorische aspecten, zoals die in de tekst verwoord zijn, met name in hoofdstuk 12, niet altijd aan bij de Nederlandse bedrijfsvoering en juridische praktijk. Hier zal separaat een speciale uitgave aan gewijd worden.’ Die ‘speciale uitgave’ is om diverse redenen echter nooit verschenen. In het onderstaande wordt alsnog de bovengenoemde uitspraak nagekomen. Inmiddels is BS7799 Part 1 verschenen als ISO/IEC 17799:2000, en recent is een nieuwe versie van BS7799 Part 2 verschenen. De diverse versies (BS779 Part 1:1999, ISO/IEC 17799:2000 en CvIB:2000 Deel 1) zijn echter nog volledig identiek. Pas rond eind 2004 of begin 2005 zal de onderhanden revisie van ISO/IEC 17799:2000 afgerond zijn. Het onderstaande, gebaseerd op juridische stand van zaken van juni 2003, is dus nog geruime tijd relevant.

2. Juridische onjuistheden in de Code De Nederlandse vertaling strookt over het algemeen goed met het Nederlandse recht. Dat is niet verwonderlijk, aangezien de Code een hoog abstractiegehalte kent en de Engelse tekst op juridisch gebied ook meer algemene uitgangspunten heeft gehanteerd. Niettemin levert de vertaling op drie punten juridische onjuistheden op. In de eerste plaats is par. 12.1.4 (Bescherming van persoonsgegevens) te beperkt. De tekst beveelt aan een functionaris aan te wijzen belast met de ‘beveiliging’ van persoonsgegevens; een dergelijke privacyfunctionaris moet zich echter bezig houden met de bescherming van persoonsgegevens in brede zin. De Wet bescherming persoonsgegevens (Wbp) bevat tal van eisen om persoonsgegevens te beschermen, waarvan beveiliging slechts een relatief klein onderdeel is (zie onder, par. 3.3). Daarnaast heeft de tekst het over de ‘“eigenaar”’ van persoonsgegevens – tussen aanhalingstekens, aangezien gegevens geen voorwerp van (fysiek) eigendom kunnen zijn. De juridisch correcte term hiervoor is de ‘verantwoordelijke’: degene die ‘het doel en de middelen voor de verwerking van persoonsgegevens vaststelt’ (art. 1 onder d Wbp). Dit is niet noodzakelijk degene die de gegevens onder zijn beheer heeft, omdat de verantwoordelijke de verwerking kan uitbesteden aan een derde, die ‘bewerker’ wordt genoemd. Hoewel een bewerker zelf ook verplichtingen heeft, ligt de primaire verantwoordelijkheid voor bescherming van persoonsgegevens bij de ‘verantwoordelijke’. ‘“Eigenaar”’ moet dus niet worden gelezen als degene die de gegevens onder zijn beheer heeft, maar degene die bepaalt wat er met de gegevens kan of moet gebeuren. In de tweede plaats is par. 12.1.5 (Voorkomen van misbruik van IT-voorzieningen) te strikt in de suggestie dat elk gebruik van IT-voorzieningen voor niet-zakelijke doeleinden of zonder toestemming van het management onjuist gebruik oplevert. Hoewel het

CENTRUM VOOR RECHT BESTUUR EN INFORMATISERING Postbus 90153 • 5000 LE Tilburg www.uvt.nl/crbi

-2-

Koops, B.J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Verschenen in Informatiebeveiliging, 5, 20-24

afhankelijk kan zijn van het soort bedrijf, wordt in het algemeen naar Nederlands recht aangenomen dat er inmiddels een zeker recht bestaat om bedrijfsmiddelen voor privédoeleinden te gebruiken, mits de werknemer zich beperkt tot wat een ‘goed werknemer’ betaamt. Alleen als de organisatie expliciet en vooraf elk niet-zakelijk gebruik heeft verboden, ligt dat anders, maar een dergelijk verbod kan in strijd komen met het ‘goed werkgeverschap’ (vergelijk hieronder, par. 3.4). De derde onjuistheid betreft een vertaling in par. 12.1.7.1 (Regels voor bewijsmateriaal): Nederland kent geen ‘regelgeving van een bepaald gerechtshof’ voor bewijsmateriaal dat kan worden gebruikt in een rechtszaak. Alleen wettelijke voorschriften kunnen van toepassing zijn op de toelaatbaarheid van bewijsmateriaal (zie onder, par. 3.6). Vanzelfsprekend is het wel raadzaam rekening te houden met (on)mogelijkheden van rechtbanken om kennis te nemen van elektronisch bewijsmateriaal – een bestand dat de rechtbank niet kan lezen is dan wel juridisch toelaatbaar, maar zal weinig bewijskracht hebben.

3. Juridische concretisering van de Code Hoewel de Nederlandse tekst dus grotendeels juridisch correct is, valt er wel iets meer te zeggen over de juridische vertaling naar Nederlands recht van de bepalingen uit de Code. De tekst is immers vaak abstract en bevat veel termen als ‘in sommige landen’ en ‘wettelijke voorschriften kunnen beperkingen opleggen’. Hoe ziet het plaatje er voor het Nederlandse recht uit? Op welke punten moet men in het bijzonder letten naar Nederlands recht? Deze paragraaf geeft een globale concretisering van de diverse aandachtspunten uit par. 12.1 van de Code, de ‘Naleving van wettelijke voorschriften’.2

3.1. Auteursrecht De Code geeft aan dat inbreuk op auteursrecht tot strafrechtelijke vervolging kan leiden. Dat komt in de praktijk weinig voor. Veel belangrijker is de civielrechtelijke actie die een auteursrechthebbende kan instellen tegen iemand die bijvoorbeeld ongeautoriseerd programmatuur gebruikt. Dit kan gepaard gaan met een flinke vordering tot schadevergoeding. De Code geeft tal van suggesties om te voorkomen dat auteursrechtelijk beschermde programmatuur wordt misbruikt. De Code bevat voorts de zin: ‘Wettelijke, reglementaire en contractuele vereisten kunnen beperkingen opleggen aan het kopiëren van in eigen beheer ontwikkeld materiaal.’ Wettelijke beperkingen daartoe zijn er niet in Nederland. Bij materiaal dat in eigen beheer is ontwikkeld, zullen er normaliter ook geen contractuele beperkingen bestaan voor kopiëren of andere vormen van gebruik. Slechts als het materiaal sporen draagt van 2

Alle genoemde wetgeving is te vinden op ; wetsvoorstellen zijn beschikbaar op . Voor een uitgebreider overzicht van juridische aspecten van informatiebeveiliging naar Nederlands recht, met name in de context van het bedrijfsleven, zie B.J. Koops & S. van der Hof, ‘Informatiebeveiliging, e-handel en recht’, in: R.E. van Esch & J.E.J. Prins (red.), Recht en elektronische handel, Deventer: Kluwer 2002, p. 387-409. Een veel uitgebreider overzicht van juridische aspecten is te vinden in de diverse paragrafen van het losdelige handboek Recht & Informatietechnologie. Handboek voor rechtspraktijk en beleid dat onder redactie van J.E.J. Prins, B.J. Koops e.a. wordt uitgegeven bij Sdu.

CENTRUM VOOR RECHT BESTUUR EN INFORMATISERING Postbus 90153 • 5000 LE Tilburg www.uvt.nl/crbi

-3-

Koops, B.J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Verschenen in Informatiebeveiliging, 5, 20-24

ontwikkelprogrammatuur van derden, kunnen er auteursrechtelijk relevante elementen zitten in het eigen materiaal; in dat geval kunnen contractuele voorwaarden die zijn gekoppeld aan de ontwikkelprogrammatuur, eisen stellen aan wat men met het eigen materiaal mag doen. De Code besteedt geen aandacht aan de technische bescherming van programmatuur of van andere werken waarop auteursrecht rust. Vanuit informatiebeveiligingsperspectief is het relevant te weten dat middelen die dergelijke programmatuurbeveiliging beogen te doorbreken (kraakmiddelen) een specifieke strafbaarstelling kennen. Art. 32a Auteurswet bepaalt dat het opzettelijk aanbieden of voorhanden hebben van softwarekraakmiddelen strafbaar is. Daarbij moet het wel gaan om middelen die uitsluitend bestemd zijn om programmatuurbeveiliging te kraken. Een cryptoanalyseprogramma dat bruikbaar is als kraakmiddel van softwarebeveiliging maar dat ook andere doeleinden heeft, valt dus niet onder de strafbaarstelling. In de toekomst moet men echter misschien voorzichtiger zijn met kraakhulpmiddelen. Een wetsvoorstel is momenteel (juni 2003) aanhangig dat omzeiling van technische beschermingsmaatregelen onrechtmatig maakt. Het kraken van de anti-kopieerbeveiliging van een cd zal dan onrechtmatig zijn en kunnen leiden tot een vordering tot schadevergoeding. Maar het wetsvoorstel bepaalt ook dat allerlei voorbereidingshandelingen met betrekking tot kraken onrechtmatig worden. Hieronder valt bijvoorbeeld het ontwikkelen van programma’s die ‘slechts een commercieel beperkt doel of nut hebben anders dan het omzeilen’ of die ‘vooral ontworpen, vervaardigd of aangepast worden met het doel het omzeilen’ van anti-kopieerbeveiligingen (voorgesteld art. 29a Auteurswet, mijn cursivering). Dit voorstel, dat een uitvloeisel is van een Europese richtlijn, heeft tot de vrees geleid bij informatiebeveiligingsdeskundigen dat cryptoanalyse hierdoor in het gedrang zou kunnen komen. Onderzoek naar de gaten in de beveiliging van bijvoorbeeld cd’s of programmatuur zou immers opgevat kunnen worden als een onrechtmatige kraakpoging. Hoewel de minister in de Tweede Kamer heeft toegezegd dat de bepaling ‘serieus’ cryptografisch onderzoek niet mag verhinderen,3 is het niet helemaal zeker hoe de rechter daar in de praktijk over zal denken. In de Verenigde Staten heeft soortgelijke wetgeving in elk geval al geleid tot meer terughoudendheid bij het publiceren van cryptoanalytische onderzoeksresultaten.

3.2. Beveiliging van bedrijfsdocumenten ‘Belangrijke bedrijfsdocumenten dienen te worden beveiligd tegen verlies, vernietiging en vervalsing’, aldus de Code. Voor bepaalde situaties is dat ook wettelijk vastgelegd. Zo moet voor de fiscus de administratie ten minste zeven jaar beschikbaar zijn (art. 2:10 lid 1 Burgerlijk Wetboek (BW) voor rechtspersonen, art. 3:15a lid 2 BW voor zelfstandigen). Sommige rechtsvorderingen waar een organisatie mee kan worden geconfronteerd verjaren al na twee jaar (zoals een koopovereenkomst, art. 7:23 lid 2 BW), maar andere 3

Kamerstukken II, 2002/03, 28 482, nr. 5, p. 42.

CENTRUM VOOR RECHT BESTUUR EN INFORMATISERING Postbus 90153 • 5000 LE Tilburg www.uvt.nl/crbi

-4-

Koops, B.J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Verschenen in Informatiebeveiliging, 5, 20-24

vorderingen kunnen langer meegaan. Een vordering tot nakomen van een overeenkomst (als bijvoorbeeld een afnemer vindt dat er onvoldoende is geleverd) of tot schadevergoeding (als bijvoorbeeld een geleverd product schade heeft veroorzaakt) verjaart pas na vijf jaar (art. 3:307 en 310 BW). De algemene verjaringstermijn is twintig jaar (art. 3:306 BW). Voor delen van de overheid gelden nog veel langere termijnen op grond van de Archiefwet. Wil een organisatie gedurende deze periode de nodige documenten beschikbaar houden, dan moet hij ervoor zorgen dat de opgeslagen gegevens ook daadwerkelijk toegankelijk zijn. Voor het verzekeren van ‘digitale duurzaamheid’ kan wellicht worden aangesloten bij de inzichten die worden ontwikkeld in het gelijknamige overheidsprogramma.4 Naast het bewaren is ook de tijdige toegankelijkheid van belang. De fiscus kan altijd inzage vorderen in de administratie (art. 47 en 49 Algemene wet op de rijksbelastingen) en de boekhouding dient daarbij in een goede en toegankelijke staat te zijn, zodat ‘te allen tijde de rechten en verplichtingen van de rechtspersoon kunnen worden gekend’ (art. 2:10 lid 1 BW). Elektronisch vastgelegde gegevens moeten ook binnen redelijke tijd leesbaar kunnen worden gemaakt (art. 2:10 lid 4 BW).

3.3. Bescherming van persoonsgegevens Bescherming van persoonsgegevens is wettelijk verplicht op basis van de gelijknamige wet, de Wbp. Dit is een zeer uitgebreide en complexe wet, die tal van eisen en plichten kent voor de verwerking van persoonsgegevens. Deze eisen en plichten kennen een hoog abstractieniveau en moeten worden vertaald naar de concrete situatie van een organisatie. De toezichthouder, het College Bescherming Persoonsgegevens (CBP), heeft enkele instrumenten ontwikkeld die daarbij behulpzaam kunnen zijn: een Quickscan, een WBP Zelfevaluatie, en een Raamwerk Privacy Audit.5 Een belangrijke eis in het licht van de Code is de beveiligingseis van art. 13 Wbp: ‘De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen’. Een afgeleide beveiligingsplicht geldt voor de ‘bewerker’ van persoonsgegevens, die in opdracht van de verantwoordelijke persoonsgegevens verwerkt (art. 14 Wbp). De algemene beveiligingseis is nader geconcretiseerd door het College in de brochure Beveiliging van persoonsgegevens.6

4

Zie . Beschikbaar op . Zie ook de praktijkgerichte uitleg van het Ministerie van Justitie, Handleiding voor verwerkers van persoonsgegevens, april 2002, . 6 April 2001. Beschikbaar op . 5

CENTRUM VOOR RECHT BESTUUR EN INFORMATISERING Postbus 90153 • 5000 LE Tilburg www.uvt.nl/crbi

-5-

Koops, B.J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Verschenen in Informatiebeveiliging, 5, 20-24

Een andere belangrijke bepaling uit de Wbp, waar de Code ook aan refereert, is de eis dat persoonsgegevens alleen mogen worden uitgevoerd naar derde landen (dat wil zeggen buiten de EU of de Europese Economische Ruimte) indien dat land een ‘passend beschermingsniveau’ heeft voor persoonsgegevens (art. 76-78 Wbp). In elk geval voldoen Zwitserland, Hongarije, Canada en Argentinië aan die eis, alsmede bedrijven in de VS die de Safe Harbor Principles7 hebben ondertekend; in mei 2003 waren dat zo’n 350 bedrijven. Voor de praktijk kan deze bepaling grote problemen opleveren, omdat veel landen een lager beschermingsniveau zullen hebben dan de EU-lidstaten. In dat geval moeten er andere wegen worden bewandeld, zoals het verkrijgen van toestemming van degenen op wie de persoonsgegevens betrekking hebben, of het aanvragen van een vergunning bij de minister van justitie (art. 77 lid 2 Wbp).8 Deze bepaling zal in de praktijk overigens moeilijk handhaafbaar zijn.

3.4. Voorkomen van misbruik van IT-voorzieningen Om misbruik van IT-voorzieningen te voorkomen, gaan meer en meer organisaties over tot het elektronisch monitoren van werknemers. Dat is in principe rechtmatig, maar de werkgever dient daarbij wel aan een aantal voorwaarden te voldoen. Ook op de werkplek bestaat immers een zeker recht op privacy, en bovendien moet de werkgever zich als ‘goed werkgever’ gedragen (art. 7:611 BW). Zo moet een monitoringbeleid van tevoren zijn aangekondigd en zo specifiek mogelijk te zijn toegesneden op het soort misbruik dat het beoogt te voorkomen. Ook moet de ondernemingsraad instemming verlenen voor monitoring, aangezien het een personeelsvolgsysteem betreft (art. 27 Wet op de ondernemingsraden). Het CBP heeft vuistregels opgesteld voor dergelijke monitoring.9 De Code geeft voorts aan dat het gebruik van een computer voor ongeautoriseerde doeleinden strafbaar kan zijn. In Nederland is dat niet het geval, althans niet als zodanig. Theoretisch kan misbruik van een computer worden bestraft wegens diefstal van elektriciteit, maar dat zal het Openbaar Ministerie in de praktijk niet willen vervolgen. Misbruik kan wel strafbaar zijn als het ongeautoriseerd gebruik bijvoorbeeld betekent dat iemand een beveiligd computerdeel binnendringt waar hij niet mag zijn (computervredebreuk, art. 138a Wetboek van Strafrecht (WvSr)) of wanneer iemand onbevoegd gegevens wijzigt of toevoegt (gegevensmanipulatie, art. 350a WvSr).

7

Zie . Zie de Nota derde landen uit februari 2003, . 9 April 2002, beschikbaar op . Een alternatief is het voorbeeldprotocol van FNV Bondgenoten, beschikbaar via . 8

CENTRUM VOOR RECHT BESTUUR EN INFORMATISERING Postbus 90153 • 5000 LE Tilburg www.uvt.nl/crbi

-6-

Koops, B.J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Verschenen in Informatiebeveiliging, 5, 20-24

3.5. Cryptografische middelen10 De Code geeft aan dat sommige landen wetgeving kennen die het gebruik van cryptografie beperkt. Dat is zacht uitgedrukt: heel veel landen kennen exportbeperkingen voor cryptografie. Voor Nederland is dat geregeld in de In- en uitvoerwet en het In- en uitvoerbesluit strategische goederen. Dat wil niet zeggen dat export niet mogelijk is, maar in veel gevallen is wel een vergunning vereist, bijvoorbeeld bij export buiten de EU en bij sterke niet-standaard crypto. In Nederland kan men zich daarvoor richten tot de Afdeling Exportcontrole en Sanctiebeleid van het Ministerie van EZ. Importbeperkingen zijn er daarentegen veel minder; in Nederland mag men vrijelijk cryptografie importeren. Naast de exportbeperkingen kennen diverse landen nog wetgeving voor het gebruik van cryptografie in het land zelf. In sommige landen, zoals Rusland en China, is cryptogebruik zonder vergunning strafbaar. In Nederland is dat niet aan de orde. Wel bestaat er hier een wettelijke verplichting om bij een doorzoeking (huiszoeking) cryptografische beveiliging ongedaan te maken (art. 125k lid 2 Wetboek van Strafvordering (WvSv)); een bevel daartoe mag worden gericht aan ieder die vermoedelijk de beveiliging kent, maar niet aan een verdachte (art. 125m WvSv). Volgens het wetsvoorstel Computercriminaliteit II kan een dergelijk bevel in de toekomst ook worden gegeven bij onderschepte versleutelde telecommunicatie. Ook de AIVD kan iemand bevelen cryptografie ongedaan te maken; wie daar niet aan voldoet is strafbaar met maximaal twee jaar gevangenisstraf; ook als iemand onopzettelijk niet voldoet, kan hij nog zes maanden gevangenisstraf (!) opgelegd krijgen (art. 24 lid 3, art. 25 lid 7 en art. 89 Wet op de inlichtingen- en veiligheidsdiensten 2002). In de praktijk zal dat overigens zo’n vaart niet lopen. Er is nog geen enkele rechtszaak bekend over een weigering te ontsleutelen, bij politie noch AIVD.

3.6. Verzamelen van bewijsmateriaal Op de beschikbaarheid van bewijsmateriaal is hierboven al ingegaan (par. 3.2). Maar is dat materiaal ook toelaatbaar als bewijs, en welke rechtskracht heeft het? In het algemeen is het bewijs in het Nederlandse civielrecht vormvrij. Alles kan in principe dienen als bewijs, dus ook elektronische documenten, gegevens en handtekeningen. Wel zal de bewijswaarde afhangen van het soort gegevens en de wijze waarop deze zijn vastgelegd. Gegevens die onveranderbaar op een duurzame drager zijn vastgelegd volgens een vaststaande procedure zullen meer bewijskracht hebben dan een A4’tje met een afdruk van een netpostbericht. De rechter is echter vrij om ook dat A4’tje als bewijs te accepteren (hetgeen in de praktijk meestal gebeurt), tenzij de tegenpartij aanvecht dat het onbetrouwbaar is. In dat geval zal men moeten beargumenteren dat het afgedrukte bericht toch betrouwbaar is. 10 Een wereldwijd overzicht van cryptografiewetgeving biedt Bert-Jaap Koops, Crypto Law Survey, .

CENTRUM VOOR RECHT BESTUUR EN INFORMATISERING Postbus 90153 • 5000 LE Tilburg www.uvt.nl/crbi

-7-

Koops, B.J. (2003). De Code voor Informatiebeveiliging naar Nederlands recht. Verschenen in Informatiebeveiliging, 5, 20-24

Een bijzonder geval is de rechtskracht van elektronische authenticatiemethoden; dit is ook van belang voor par. 10.3.3 van de Code. De Code spreekt over digitale handtekeningen, maar de wet van 8 mei 200311 gebruikt de term elektronische handtekeningen. In principe is elke e-handtekening toelaatbaar als bewijs: ook een gescande handtekening of een gebruikersnaam-en-wachtwoord kunnen bewijs opleveren van authenticiteit. De rechtskracht hangt ook hier weer af van de betrouwbaarheid van de authenticatiemethode: een e-handtekening heeft alleen dezelfde rechtsgevolgen als een handgeschreven handtekening als de methode ‘voldoende betrouwbaar’ is in het licht van alle omstandigheden (art. 3:15a lid 1 BW). De wet geeft daarbij aan dat een methode die aan allerlei eisen voldoet als voldoende betrouwbaar wordt beschouwd (tenzij de tegenpartij onderbouwd aangeeft waarom dat in dit geval niet zo was), aldus art. 3:15a lid 2 BW. De enige authenticatiemethode die vooralsnog aan die eisen voldoet is de cryptografiegebaseerde handtekening met een zogeheten gekwalificeerd certificaat, dat is uitgegeven door een bij de OPTA geregistreerde certificatiedienstverlener. Zowel certificaat, authenticatiemiddel als dienstverlener moeten daarbij aan diverse kwaliteitseisen voldoen, zoals vastgelegd in algemene maatregelen van bestuur (onder andere het Besluit elektronische handtekeningen). Voor de praktijk belangrijker dan deze ingewikkelde procedures lijkt de bepaling van art. 3:15a lid 6 BW: partijen mogen onderling afwijken van dit wettelijk regime. In een contract kan dus worden vastgelegd wat tussen beide partijen als toelaatbaar en betrouwbaar bewijs kan gelden, zodat bijvoorbeeld ook intern-gecertificeerde authenticatiemethoden kunnen worden geaccepteerd.

4. Conclusie De Code voor Informatiebeveiliging is voor het overgrote deel correct vanuit Nederlandsjuridisch oogpunt. De enige inhoudelijk onjuiste suggestie is dat elk privé-gebruik van zakelijke IT-voorzieningen in principe ontoelaatbaar is; dat ligt iets genuanceerder in het Nederlandse recht. Belangrijker dan de (in)correctheid van de Code is de concretisering ervan: de algemene bepalingen moeten worden vertaald naar de praktijksituatie. Dit artikel heeft daartoe slechts een kleine aanzet geboden, door aan te geven welke wettelijke bepalingen van toepassing zijn op bijvoorbeeld de beschikbaarheid van bedrijfsdocumenten, cryptografie en elektronische handtekeningen. Voor een goed inzicht in de wettelijke vereisten voor de informatiebeveiliging van een organisatie blijft voorop staan wat de Code zelf al aangeeft: ‘Er dient deskundig advies over specifieke juridische eisen te worden ingewonnen bij de juridische adviseurs van de organisatie of bij gekwalificeerde juristen.’

11

Wet elektronische handtekeningen, Staatsblad 2003, 1999, inwerkingtreding 21 mei 2003.

CENTRUM VOOR RECHT BESTUUR EN INFORMATISERING Postbus 90153 • 5000 LE Tilburg www.uvt.nl/crbi

-8-