EUR-wetenschapper aan de wieg van Nationaal Cybersecurity Lab

Het Nationaal Cybersecurity Lab is vrijdag officieel van start gegaan. Cybersecurity-onderzoeker Bernold Nieuwesteeg van de Erasmus School of Law (ESL) is een van de oprichters. In het lab probeert hij wetenschappers en experts uit het bedrijfsleven bij elkaar te brengen in brainstorms, om tot concrete oplossingen voor problemen met cyberveiligheid in de samenleving te komen.

“De bedoeling van het lab is dat we nieuwe ideeën aan de praktijk toetsen. Dat doen we door wetenschappers en vertegenwoordigers van het bedrijfsleven samen te brengen”, vertelt Nieuwesteeg, die ook directeur is van het Centre for Law and Economics of Cyber Security van de EUR. Hij richtte het lab op samen met Petra Oldengarm van Cyberveilig NL en Rutger Leukfeldt (Haagse Hogeschool).

In de praktijk houdt het lab in dat Nieuwesteeg en zijn collega’s regelmatig brainstorms organiseren over een bepaald thema. Hoewel het lab deze week pas officieel gelanceerd werd, is de eerste sessie al achter de rug. “En dat was meteen heel succesvol”, vertelt Nieuwesteeg trots.

Datalek bij de GGD

Bij die eerste sessie was het thema de zorgplicht van cybersecuritybedrijven. “Het is misschien niet het eerste waar je aan zou denken, maar het is heel belangrijk”, betoogt de onderzoeker.  Denk maar aan de GGD. Daar was in januari sprake van een groot datalek, waarbij bijna alle medewerkers bij alle gegevens van op corona geteste mensen konden. Er was zelfs een ‘handige’ exportfunctie waarmee duizenden patiëntgegevens met één druk op de knop konden worden meegenomen. Nieuwesteeg: “De media stippen dan voornamelijk de verantwoordelijkheid van de GGD aan. Maar het is niet terecht dat alleen de afnemer de zwarte piet krijgt toebedeeld. Waarom spreek je de leverancier van de software niet aan op een datalek? De GGD is goed in prikken zetten en testen, maar niet per se in cybersecurity. Zo’n softwarebedrijf is daar echter dagelijks mee bezig. Dus wie is er dan beter in staat om zo’n lek te voorkomen?”

In contracten staat vaak dat de leverancier niet verantwoordelijk kan zijn voor datalekken, dat is de zorg van de afnemer. “Dat zou ik ook doen als ik de leverancier was”, zegt Nieuwesteeg. “Maar dat is voor de maatschappij natuurlijk niet wenselijk.” De brainstormsessie leverde zelfs een concreet toepasbare oplossing op.

Zorgplicht

“Het is misschien een beetje een scrabblewoord, maar we kwamen op het idee van cybersecurityzorgplichtstandaard”, zegt Nieuwesteeg. Het komt erop neer dat de leverancier en de gebruiker gestandaardiseerde afspraken maken over wie waar verantwoordelijk voor is. Vervolgens mag je van die standaarden afwijken, maar alleen ‘beredeneerd’ en als beide partijen dat willen. “Dus stel dat de gebruiker een gerenommeerd IT-bedrijf is, dan is het wellicht logisch dat die meer eigen verantwoordelijkheid wil. Dat kan, maar dat moet dan altijd toegelicht worden.” Verzekeraars zouden in de toekomst zo’n standaardclausule kunnen vereisen.

Bijzonder aan het lab is dat ook veel cybersecuritybedrijven hebben meegedacht. “Er zat een directeur met honderd man personeel in de zaal. Dat zijn serieuze partijen. Het is dus niet zomaar een wetenschapper die roept dat er een zorgstandaard moet komen, grote bedrijven uit de cybersecuritybranche onderschrijven dat meteen.”