Digital agenda – Deel V juli 2015
Inhoudstafel Deel V -
Bescherming en beveiliging van digitale gegevens .................................................... 1
V.1
Cybersecurity............................................................................................................. 1
V.2
Beveiliging van betalingen.......................................................................................... 3
V.3
Vertrouwen van de consumenten en gegevensbescherming........................................ 4
Deel V Digital agenda
Deel V -
Bescherming en beveiliging van digitale gegevens
V.1 Cybersecurity Context 94% van de Belgische ondernemingen beschikken over een internetverbinding. Uit een VBO-enquête van oktober 2014 blijkt de sense of urgency:
51% van de deelnemende bedrijven gaf toe reeds te maken gehad te hebben met cybercriminaliteit;
68,5% van de ondernemingen acht het risico reëel dat ze in de toekomst met cybercriminaliteit geconfronteerd zullen worden;
40,3% van de respondenten gaf aan cybercriminaliteit als een top 5-risico te beschouwen in het kader van hun risk management.
Uit diezelfde enquête blijkt bovendien de nood aan informatie van de bedrijven:
61,5% van hen weet niet bij welke instanties ze terecht kunnen m.b.t. cyberveiligheid;
75,4% geeft aan niet op de hoogte te zijn van de regelgeving rond cyberveiligheid;
65,6% van de bedrijven heeft nood aan bijkomende informatie rond het uitbouwen van een afdoend cyberveiligheidsbeleid. Huidige toestand
In het regeerakkoord engageert de regering zich om van cyberveiligheid een prioriteit te maken. Hiertoe zal het Centrum voor Cyberveiligheid België (CCB) operationeel gemaakt worden. Midden juli 2015 werd een belangrijke stap gezet met de aanstelling van een directeur (Miguel De Bruycker) en een adjunct-directeur (Phedra Clouner). Het is de bedoeling dat het CCB de aanpak van cyberveiligheid in België coördineert. Tevens staat het (verder) uitwerken en uitvoeren van een Belgische Cyberveiligheidsstrategie op zijn programma. Het VBO wil bedrijven informeren en sensibiliseren m.b.t. cyberveiligheid. Daarom bracht het VBO, samen met ICC Belgium en een aantal andere partners, in 2013 de Cyber Security Guide uit. Een praktische gids die bedrijven een heel eind op weg helpt als het om cyberveiligheid gaat. Maar het VBO wil het daar niet bij laten. In het najaar van 2014 richtte het daarom, samen met Proximus, KULeuven, ULB en Belnet de Cyber Security Coalition (vzw) op. Het gaat om een initiatief tussen de private, de academische en de publieke sector met als doelstelling de krachten te bundelen voor cyberveiligheid en tegen cybercriminaliteit. De Cyber Security Coalition werkt rond 4 pijlers: (1) experience-sharing tussen bedrijven, overheid en academici om zo een 360°-overzicht van het cyberveiligheidslandschap in België te krijgen; (2) krachtenbundeling: door de handen in elkaar te slaan, staan we sterker tegen cybercriminaliteit; (3) sensibilisering van het grote publiek rond cyberveiligheid; (4) aanbevelingen aan bedrijven, maar ook aan de politieke actoren, m.b.t. het verbeteren van de cyberveiligheid en cyber resilience in België.
Deel V Digital agenda – p.1
Toekomst en aanbevelingen
Het CCB dient meer specifiek te werken aan de Belgische Cyberveiligheidsstrategie en haar implementatie. Eind 2012 werd reeds zo’n strategie op papier gezet, maar tot op vandaag heeft deze nota weinig gevolgen in de praktijk. Daarnaast dient ook het wettelijk kader onder de loep genomen te worden.
De Cyber Security Coalition zelf is vandaag al actief. Tussen februari 2015 en juni 2015 vonden reeds drie experience-sharing sessies plaats. Daarnaast wordt gewerkt aan een awareness programma (oktober-november 2015) en zullen eind 2015 de eerste aanbevelingen van de Coalitie worden gepubliceerd.
Het is belangrijk dat het CCB en de Cyber Security Coalition in de toekomst nauw samenwerken. Voorwaarde om dit mogelijk te maken is uiteraard een operationeel CCB.
Op Europees vlak zit een ontwerprichtlijn m.b.t. Netwerk- en Informatieveiligheid in de pijplijn. Deze zal in principe nog voor het einde van 2015 worden aangenomen. Deze richtlijn zal omgezet moeten worden naar Belgisch recht en voor bepaalde economische operatoren (bv. telecom, kritische infrastructuur) nieuwe verplichtingen met zich meebrengen. Impact
Zoals altijd het geval is voor een thema m.b.t. tot veiligheid, gaat het niet om de core business van het bedrijf. Cyberveiligheid gaat over de bescherming van de core business van een bedrijf. De cyberrisico’s waaraan bedrijven (die met het internet verbonden zijn) worden blootgesteld, zijn o.a. het verlies van informatie, het verlies van de controle over informatie, de publicatie op het net van vertrouwelijke informatie door cybercriminelen, de reputatieschade, de onthulling van bedrijfsgeheimen,… Cyberveiligheid moet dan ook een prioriteit zijn voor elk bedrijf. Cyberveiligheidsmaatregelen zijn immers maar zo sterk als de zwakste schakel. We zijn immers allemaal verbonden door het internet. Het is dus een gezamenlijke verantwoordelijkheid.
Deel V Digital agenda – p.2
V.2 Beveiliging van betalingen Context Een verstandige inzet van nieuwe technologische mogelijkheden op het vlak van financiële diensten en betaalverkeer kan bijdragen tot efficiëntere dienstverlening en beter risicobeheer, en ook de ontwikkeling van e-commerce ondersteunen. Tegelijk moet de burger vertrouwen kunnen blijven hebben in de veiligheid van betaalsystemen en de wijze waarop ondernemingen met financiële gegevens omspringen, ook ten aanzien van niet-financiële spelers. Huidige toestand Er is op dit moment geen voldoende wettelijke basis voor het opzetten van een interbancair informatie-uitwisselingsysteem in het kader van de bestrijding van betaalfraude. Kredietinstellingen en hun cliënten worden geconfronteerd met escalerende risico’s en (pogingen tot) fraude inzake betaalverrichtingen. Fraudeurs herhalen fraudetypologie bij verschillende kredietinstellingen. Dit tast het vertrouwen van de burger in online betaalsystemen aan, en aldus ook e-commerce. Aanbevelingen Verhoog het vertrouwen in online betalingssystemen door te zorgen voor een duidelijke wettelijke basis voor het opzetten van een interbancair informatie-uitwisselingsysteem in het kader van de bestrijding van betaalfraude. Fraude kan worden ontmoedigd door kredietinstellingen toe te laten (via een centrale interbancaire databank) informatie uit te wisselen over enerzijds identiteit van (vermoede) fraudeurs (op basis van vaststelling via een strikte procedure) en anderzijds ook identiteitsgegevens van klanten die hun identiteitspapieren hebben verloren of van wie ze zijn gestolen en die op hun verzoek zijn opgenomen in de databank. Dit zou een verhoogde waakzaamheid bij het openen van rekeningen mogelijk maken. Artikel VII.63 Wetboek van Economisch Recht laat toe een databank inzake betaalfraude op te richten en voorziet dat de modaliteiten daarvan in een koninklijk besluit zullen worden uitgewerkt. Voor de concrete uitwerking van een databank inzake betaalfraude is er echter eerst nog een wetgevend initiatief nodig. Zo zou het o.a. het uitwisselen van identiteitsgegevens van fraudeurs tussen banken wettelijk mogelijk gemaakt moeten worden.
Deel V Digital agenda – p.3
V.3 Vertrouwen van de consumenten en gegevensbescherming Om de consumenten en de gebruikers meer vertrouwen in de online diensten te geven, wil de Commissie de EU-regels inzake gegevensbescherming grondig moderniseren en versterken. De consumenten en de burgers van de EU in het algemeen moeten immers vertrouwen hebben in de digitale voorzieningen en diensten zoals cloud computing en daarom moeten er gemoderniseerde en efficiëntere regels inzake gegevensbescherming worden toegepast. Zo heeft de Europese Commissie in 2012 een grondige hervorming van het Europees wettelijk kader voor de bescherming van persoonsgegevens voorgesteld. Deze hervorming houdt in dat de huidige gegevensbeschermingsrichtlijn en het kaderbesluit over de bescherming van persoonsgegevens, die worden verwerkt in het kader van de politionele en justitiële samenwerking in strafzaken, wordt vervangen door respectievelijk:
een algemene verordening betreffende de gegevensbescherming;
een richtlijn inzake de bescherming van persoonsgegevens die worden verwerkt in het kader van de politionele en justitiële samenwerking in strafzaken.
Een hervorming van het Europees recht betreffende de gegevensbescherming is noodzakelijk vanwege de technologische revolutie sinds 1995. Het internet, de sociale media, enz. hebben niet alleen onze samenleving maar ook de mogelijkheden om de gegevens te verwerken radicaal gewijzigd. Het voorstel van de Commissie heeft tot doel de toepassing van de regels die de EU in dit domein heeft uitgevaardigd te garanderen bij elke verwerking van de persoonsgegevens van EU-burgers, los van de plaats waar de server zich bevindt of van de “cloud” waarin die persoonsgegevens worden opgeslagen. De door de Europese Commissie nagestreefde doelstellingen zijn onweerlegbaar positief. De manier waarop ze worden omgezet in het voorstel voor een algemene verordening betreffende de gegevensbescherming doet echter vragen rijzen. Hoewel de Europese Commissie administratieve vereenvoudiging en rechtszekerheid voorop stelt als belangrijke elementen van de hervorming zou het voorstel voor een algemene verordening wel eens het omgekeerde effect kunnen hebben. Het voorziet niet alleen in zware en vanwege de specifieke activiteit van elke onderneming niet altijd gerechtvaardigde verplichtingen voor de bedrijven (impact assessment, Data protection officer, data breaches notifications,…) maar ook in buitensporig zware sancties. De administratieve sancties kunnen namelijk oplopen tot 2% (5% in het voorstel van het EU-Parlement) van de wereldwijde omzet van de verantwoordelijke voor de verwerking! Aanbevelingen De gegevensbescherming belangt iedereen aan. Daarom is het belangrijk de ondernemingen bewust te maken van deze problematiek en ze correct te informeren. De wettelijke bepalingen op dit gebied moeten evenwel evenredig zijn met de risico’s die voor de persoonsgegevens en de betrokken personen worden gelopen.
Deel V Digital agenda – p.4