DINL zet zich voor en achter de schermen in voor de digitale infrastructuur en de sector die hiervoor zorg draagt. Ik hou je met deze update graag op de hoogte van onze activiteiten. In deze editie heb ik veel goed nieuws te melden.
Bezoek aan minister EZK
Op 14 september bracht ik een bezoek aan minister Micky Adriaansens van Economische Zaken en Klimaat. Samen met andere vertegenwoordigers van de digitale sector was ik uitgenodigd op het ministerie. Onderwerp was de economische toekomst van Nederland en de rol daarin van digitalisering.
Toekomstvisie
Ik sprak daar samen met mensen van de TU Delft, Fox-IT, NL Digital, KPN, FME en VNG. Goed om te melden is dat de minister kennis had genomen van ons manifest De toekomst is digitaal. Het daarin benadrukte verband tussen een duurzame, toekomstvaste economie en digitalisering is voor het ministerie klip en klaar. De minister vertelde over de toekomstvisie van EZK. Hoe ziet de Nederlandse economie er over tien jaar uit? Daarin staan digitale techniek volgens het ministerie centraal. Dat is best opmerkelijk, want het ministerie loopt hiermee in feite vooruit op de politiek. Aan het einde van dit jaar volgt de langverwachte beleidsnotitie over de brede digitale infrastructuur. Belangrijke input hiervoor komt uit onze sector zelf. De Fiber Carrier Association (FCA), de Dutch Data Association (DDA) en DTC publiceerden namelijk recent een uitgebreid marktonderzoek. Dat is voor het ministerie belangrijke input.
Digitale vaardigheden
Ook het onderwerp van digitale vaardigheden kwam uitgebreid aan bod. We spraken over de digitaal vaardige burger, het opleiden voor de arbeidsmarkt en de digitaal bekwame overheid. Een punt van aandacht is de grote versnippering. Alle ministeries zijn er op hun eigen manier mee bezig. Als sector waren we het eens dat er regie op de skillskwestie moet komen. Maar we pakken zaken als de arbeidsmarktproblematiek ook zelf op. Een voorbeeld is De Cloud IT Academy (CITA), waarbij mbo’ers een baan én een hbo-opleiding aangeboden krijgen.
Uitrol Digital Services Act
De Europese Digital Services Act (DSA) is sinds kort van kracht en wordt nu omgezet in Nederlandse wetgeving.
Maximale wetgeving
Een belangrijk aspect van de DSA is dat het gaat om maximale wetgeving. Dat wil zeggen dat lidstaten de regels niet mogen aanscherpen of uitbreiden. Dat is zorgelijk omdat de DSA geen zorgvuldigheidsbepalingen bevat. Dat wil zeggen dat je een provider niet kan verplichten om iets te doen. Dit betekent bijvoorbeeld dat de Autoriteit Online Terroristisch en Kinderpornografisch Materiaal (ATKM) geen rechtstreekse aanwijzingen aan providers meer kan geven. En de door ons als sector aangedragen oplossing voor de bestrijding van kinderporno is juist daarop gebaseerd.
Hash checks
In de situatie vóór de DSA kon de toezichthouder ingrijpen bij providers waar kinderporno op de servers werd aangetroffen. Die konden worden verplicht om hash checks toe passen, waarmee het uploaden van vrijwel alle kinderporno kon worden voorkomen. Dit middel was een van de pijlers onder het buitengewoon succesvolle Nederlandse bestrijdingsbeleid. En dat wordt de toezichthouder door de DSA ontnomen. We beraden ons dan ook op een alternatieve aanpak, in samenspraak met de ATKM en het ministerie van Justitie en Veiligheid. Wat kan er dan nog wel? We kijken naar alle juridisch mogelijke opties.
Naar de praktijk
Daarnaast is er een onderzoek geweest naar hoe justitie om zou moeten gaan met de zogenaamde trusted flaggers. In de DSA worden trusted flaggers benoemd. Als die een bepaalde melding doen, moeten hostingpartijen dat met prioriteit oppakken. Hoe moet daa mee om worden gegaan en hoe moeten zij gefinancierd worden? Daar hebben wij als DINL veel input voor geleverd.
Voor de digitale sector is het tot slot belangrijk wat partijen nu concreet moeten doen. Daar is allereerst Nederlandse wetgeving voor nodig. Daarnaast worden in het project ProCom nu allerlei procedures vormgegeven. Een ervan is laagdrempelige meldvoorziening (LMV). Burgers moeten bij één meldpunt alle onrechtmatigheden kunnen melden, waarna alle procedures van de DSA in werking gaan. Dat is een project binnen ProCom en ik ben de voorzitter van de werkgroep, waarin ook DTC en NBIP deelnemen. Samen werken we dus mee aan hoe de Europese regelgeving er in de praktijk uit zal komen te zien.
Nieuws van de One Conference
Op 3 en 4 oktober vond in Den Haag de One Conference plaats. Zo’n 1.500 mensen bezochten deze bijeenkomst om van gedachten te wisselen over cybersecurity.
Doorbraak doelwit- en slachtoffernotificatie
Alle partijen die zich bezighouden met cybersecurity waren van de partij, van AMS-IX tot NBIP. Er was belangrijk nieuws te melden over het dossier Doelwit- en slachtoffernotificatie (DSN). Voorheen kon de overheid organisaties niet direct waarschuwen voor gevonden kwetsbaarheden in hun systemen. Dat is nu mogelijk geworden. Stel dat bijvoorbeeld dat de security researchers (goede hackers) van DIVD een kwetsbaarheid vinden. Dan kunnen zij een waarschuwing versturen en die komt dan via de overheid rechtstreeks op de juiste plek terecht. Voorheen zaten daar nog partijen zoals Connect2Trust en NBIP tussen. Dat is nu niet meer nodig en dat is natuurlijk heel goed nieuws.
Het zorgt tegelijk voor nieuwe issues, want wat moeten we bijvoorbeeld als sector nu nog wél doen? Daar zijn we ons nu op aan het beraden, bijvoorbeeld met het Nationale Security Meldpunt (NSM) en het Anti Abuse Network (AAN). Discussies over die heroriëntatie lopen nu.
Harmonisering voor cybersecurity
Ik kon ook zelf goed nieuws brengen op de One Conference. Als kernteamlid van de Online Trustcoalitie houdt ik me bezig met de Europese wetten met bepalingen op het gebied van digitale veiligheid. Dit zijn er heel veel: NIS2, DORA, de Cybersecurity Act, de Cyber Solidarity Act en allerlei sectorale wetten over bijvoorbeeld vervoer, energie en voedsel. Het is een nachtmerrie voor bedrijven dat ze voor elk van die wetten iets anders zouden moeten doen. Dat elke toezichthouder afzonderlijk om informatie vraagt, aparte eisen stelt en eigen onderzoek gaat doen.
We zijn met toezichthouders in gesprek gegaan met de vraag: hoe kunnen we dit harmoniseren? Die staan ervoor open. De methodiek is volop in ontwikkeling en die tekent zich af. Dus: wat moet je als bedrijf doen zodat de toezichthouders tevreden zijn en alle wetten implementeert? Heel in het kort zal het allemaal draaien om governance, om de manier waarop je controleprocessen inricht. Je zal een een CFO moeten hebben en je procedures en checks & balances op orde hebben. Het gaat niet om de techniek, maar om de manier waarop je het hebt georganiseerd. En je zal iets vergelijkbaar met een jaarrekening krijgen op het gebied van cybersecurity. Op 1 november is er een groot event over dit onderwerp bij VNO—NCW en ook op het ECP Jaarfestival zal aan bod komen.
Positieve ontwikkeling EUCS
Voor de uitvoering van de Cybersecurity Act (CSA) heeft de EU een certificeringschema opgestart: het European Cybersecurity Certification Scheme for Cloud Services (EUCS). Een probleem is dat de Europese Commissie hierbij tot nu toe erg eigengereid opereert. Hierin lijkt verandering te komen. Dat is positief nieuws, want het EUCS bevat een aantal lastige bepalingen voor bedrijven.
Aanpassing CSA in zicht
De Europese Commissie heeft zich niet aan haar woord gehouden, dat de opzet van het EUCS een democratisch proces zou worden. Organisaties zoals Digital Europe en Business Europe hebben brieven geschreven over hun zorgen over EUCS, maar hebben nooit antwoord gekregen van de Commissie. En er is niets van hun inbreng terug te vinden in de regelgeving. Europarlementariër Bart Groothuis heeft dit dossier opgepakt, met input van de Online Trust Coalitie. Hij heeft een amendement ingediend voor de CSA. Daar lijkt een meederheid voor te zijn en dat zal de Europese Commissie dwingen om het anders te doen. Zij moet dan het parlement en andere organisaties raadplegen voor de certificeringen.
Digitaliseringsdebat Nieuwspoort
Op 13 november vindt in het Haagse perscentrum Nieuwspoort een politiek debat plaats over digitalisering. Dat is negen dagen voor de Tweede Kamerverkiezingen.
Het debat zal gevoerd worden tussen vertegenwoordigers van onze sector en kandidaat-kamerleden. Aan bod komen bijvoorbeeld de digitale samenleving, cybersecurity, digitale infrastructuur, digitale vaardigheden, de economische toekomst en kunstmatige intelligentie. Ook data-verzamelen door de overheid zal worden besproken. Dat is een van de hoofdthema’s van de nieuwe partij Nieuw Sociaal Contract. We hopen dan ook dat een van de kandidaten van NSC op het podium zal plaatsnemen.
