“De bedoeling van het lab is dat we nieuwe ideeën aan de praktijk toetsen. Dat doen we door wetenschappers en vertegenwoordigers van het bedrijfsleven samen te brengen”, vertelt Nieuwesteeg, die ook directeur is van het Centre for Law and Economics of Cyber Security van de EUR. Hij richtte het lab op samen met Petra Oldengarm van Cyberveilig NL en Rutger Leukfeldt (Haagse Hogeschool).

In de praktijk houdt het lab in dat Nieuwesteeg en zijn collega’s regelmatig brainstorms organiseren over een bepaald thema. Hoewel het lab deze week pas officieel gelanceerd werd, is de eerste sessie al achter de rug. “En dat was meteen heel succesvol”, vertelt Nieuwesteeg trots.

Datalek bij de GGD

bernold nieuwesteeg
Bernold Nieuwesteeg Beeld door: eigen archief

Bij die eerste sessie was het thema de zorgplicht van cybersecuritybedrijven. “Het is misschien niet het eerste waar je aan zou denken, maar het is heel belangrijk”, betoogt de onderzoeker.  Denk maar aan de GGD. Daar was in januari sprake van een groot datalek, waarbij bijna alle medewerkers bij alle gegevens van op corona geteste mensen konden. Er was zelfs een ‘handige’ exportfunctie waarmee duizenden patiëntgegevens met één druk op de knop konden worden meegenomen. Nieuwesteeg: “De media stippen dan voornamelijk de verantwoordelijkheid van de GGD aan. Maar het is niet terecht dat alleen de afnemer de zwarte piet krijgt toebedeeld. Waarom spreek je de leverancier van de software niet aan op een datalek? De GGD is goed in prikken zetten en testen, maar niet per se in cybersecurity. Zo’n softwarebedrijf is daar echter dagelijks mee bezig. Dus wie is er dan beter in staat om zo’n lek te voorkomen?”

In contracten staat vaak dat de leverancier niet verantwoordelijk kan zijn voor datalekken, dat is de zorg van de afnemer. “Dat zou ik ook doen als ik de leverancier was”, zegt Nieuwesteeg. “Maar dat is voor de maatschappij natuurlijk niet wenselijk.” De brainstormsessie leverde zelfs een concreet toepasbare oplossing op.

Zorgplicht

“Het is misschien een beetje een scrabblewoord, maar we kwamen op het idee van cybersecurityzorgplichtstandaard”, zegt Nieuwesteeg. Het komt erop neer dat de leverancier en de gebruiker gestandaardiseerde afspraken maken over wie waar verantwoordelijk voor is. Vervolgens mag je van die standaarden afwijken, maar alleen ‘beredeneerd’ en als beide partijen dat willen. “Dus stel dat de gebruiker een gerenommeerd IT-bedrijf is, dan is het wellicht logisch dat die meer eigen verantwoordelijkheid wil. Dat kan, maar dat moet dan altijd toegelicht worden.” Verzekeraars zouden in de toekomst zo’n standaardclausule kunnen vereisen.

Bijzonder aan het lab is dat ook veel cybersecuritybedrijven hebben meegedacht. “Er zat een directeur met honderd man personeel in de zaal. Dat zijn serieuze partijen. Het is dus niet zomaar een wetenschapper die roept dat er een zorgstandaard moet komen, grote bedrijven uit de cybersecuritybranche onderschrijven dat meteen.”