Brief Cyberveilig NL aan Autoriteit Persoonsgegevens over vorderen van informatie
Recent heeft de AP gegevens gevorderd bij een incident response bedrijf over een incident bij één van haar klanten. Als brancheorganisatie zijn wij verbaasd en geschrokken over deze ontwikkeling omdat wij van mening zijn dat deze de gehele cybersecuritybranche schaadt en dat daarmee ook de weerbaarheid van Nederland in het geding komt.
Naar aanleiding hiervan heeft Cyberveilig Nederland een brief geschreven. In ons schrijven hebben we twee bezwaren tegen de aanpak van de AP geuit:
- De basis voor een goede dienstverlening van cybersecuritybedrijven aan hun klanten is vertrouwen. Dit vertrouwen wordt door de aanpak van de AP ondermijnd. Dit betekent dat we als branche het risico lopen dat organisaties met incidenten pas later of helemaal niet meer aankloppen bij deze dienstverleners omdat zij hiermee de controle over de afhandeling van een incident kwijtraken. De aanpak van de AP werkt hiermee marktverstorend.
- Als branche hebben we de afgelopen jaren hard gewerkt aan meer transparantie en het delen van informatie uit incidenten met elkaar en met de overheid om deze informatie in te zetten om incidenten elders te voorkomen. Ondanks dat dit geanonimiseerde informatie betreft, verwachten wij dat de branche zich als gevolg van de aanpak van de AP in deze initiatieven voortaan terughoudender zal opstellen omdat de gegevens die worden gedeeld onder een vergrootglas komen te liggen. Dit terwijl het delen van deze informatie leidt tot een hogere weerbaarheid van álle organisaties in Nederland en het verminderen van cyberdreigingen.
We wachten nog op een inhoudelijke reactie van de AP op ons schrijven.
De vordering heeft geleid tot een kort geding tussen ons lid en de AP waarbij ons lid door de rechter volledig in het gelijk is gesteld.
Onze brief naar de AP is hier te lezen.
Het vonnis van de rechtbank is hier te vinden.