Advies Cybersecurity Raad: breder beschikbaar stellen van datalekmeldingen

De Cybersecurity Raad (CSR) heeft op dinsdag 11 februari 2020 een adviesbrief aangeboden aan de minister Grapperhaus van Justitie en Veiligheid.

De CSR en de Autoriteit Persoonsgegevens (AP) zijn in nauw overleg tot een voorstel gekomen om een project uit te voeren om de meerwaarde vast te stellen van het onder strikte voorwaarden beschikbaar stellen van geanonimiseerde informatie over datalekmeldingen aan onderzoekers. In de brief verzoekt de raad de minister in te stemmen met het voorgestelde onderzoeksproject alsook om de benodigde financiële middelen hiervoor beschikbaar te stellen.

Het doel van het project, dat een looptijd heeft van anderhalf jaar, is om vast te stellen welke inzichten rondom privacy en beveiliging van persoonsgegevens kunnen worden afgeleid uit de meldingsdata en/of (en zo ja, onder welke voorwaarden) dit soort analyses structureel kunnen worden uitgevoerd na de projectfase. De onderzoeksomgeving krijgt vorm door het bestand met datalekmeldingen beschikbaar te stellen aan het Centraal Bureau voor de Statistiek (CBS). Hiermee creëert de AP ook de mogelijkheid dat het bestand voor statistische doeleinden gekoppeld kan worden aan andere relevante databestanden waarover het CBS beschikt. Het CBS heeft veel ervaring met de beveiliging van dit soort bestanden en met het regelen van ‘begeleide toegang’ tot de bestanden.

De meldplicht datalekken genereert elk jaar een substantiële hoeveelheid data rondom veiligheidsincidenten waarbij persoonsgegevens zijn betrokken. Cyberveilig Nederland is van mening dat een nadere analyse van deze informatie kan leiden tot aanbevelingen ter verbetering van de informatiebeveiliging ter bevordering van de cyberweerbaarheid van onze samenleving. Informatie over datalekken vormt een belangrijke bron voor inzicht in de daadwerkelijke effecten van veiligheidsmaatregelen (of het ontbreken daarvan). Beter onderzoek naar de effecten ervan zorgt ervoor dat organisaties beter weten in welke veiligheidsmaatregelen ze moeten investeren. De raad vindt informatie-uitwisseling van belang om de cyberweerbaarheid van ons land in het algemeen en organisaties in het bijzonder te verhogen.

Cyberveilig Nederland hoopt dat het project er toe gaat leiden dat de data die nu met de onderzoekers via het CBS worden gedeeld ook buiten het onderzoeksveld worden gedeeld, waaronder de cybersecurity sector.