GroenLinks riep onlangs de overheid op om geen technologie van het Chinese bedrijf Huawei toe te laten bij het invoeren van van 5G-netwerken wegens het risico op spionage. Eerder besloot de minister van Justitie en Veiligheid om vergelijkbare redenen niet langer antivirus-software van de Russische leverancier Kaspersky te gebruiken. De Tweede Kamer riep begin april op tot een boycot van Huawei bij de aanleg van 5G-netwerken, mede in reactie op de achteraf foutieve berichtgeving dat ASML slachtoffer zou zijn van Chinese bedrijfsspionage. Dit laatste werd door ASML ontkend: het zou gaan om diefstal van intellectueel eigendom door eigen medewerkers.
De discussie over de veiligheid van bepaalde leveranciers van digitale technologie uit het buitenland speelt ook in andere landen. En eind maart ontstond ophef over het besluit van een Nederlands bedrijf om voor medische gegevens de IaaS cloud van Google te gebruiken. Wat hebben deze berichten met elkaar gemeen?
Vervlochten discussies
Als stichting DINL merken we dat met betrekking tot deze kwesties, verschillende discussies dwars door elkaar lopen. Er wordt in de pers een direct verband gelegd tussen geopolitieke, juridische en economische kwesties, spionage enerzijds, en de actuele informatieveiligheid en bescherming van privacy, anderzijds. Dat is onterecht, en brengt onnodig schade toe aan het vertrouwen van bedrijfsleven en samenleving in onze sector. En het wekt de indruk dat er een sterk verband is tussen het land van herkomst van leveranciers apparatuur en software, en informatieveiligheid. Dat is een veel te simpele voorstelling van zaken.
Vandaar dat we actief gereageerd hebben op meerdere van deze kwesties. Tijdens een debat over de kwestie Kaspersky, pleitten we voor duidelijkheid en concrete ondersteuning van de overheid, als er aanwijzingen zijn voor gecompromitteerde software. Daarvoor vonden we het als sector belangrijk dat er naast het NCSC, ook het DTC kwam – dat niet alleen de overheid zelf, maar ook het brede bedrijfsleven kan bedienen met gerichte informatie. In NRC publiceerden we dit artikel. En op BNR reageerden we op de kwestie van de medische data in de cloud en op de oproep van de Tweede Kamer om Huawei te weren.
Discussie op basis van feiten
We vinden het belangrijk dat deze discussies elk op basis van feiten wordt gevoerd. Hoe begrijpelijk de zorgen uit de samenleving over spionage, geopolitiek en de macht van big tech ook zijn, dat mag niet leiden tot de conclusie dat bedrijven in onze sector onzorgvuldig te werk gaan bij hun leverancierskeuzes. En politieke discussies als deze mogen niet uitgevochten worden over de rug van bedrijven die alles op alles zetten om de aan hen toevertrouwde informatie optimaal te beschermen, innovatie te faciliteren en de wet (WBNI en AVG) op de juiste manier, en op basis van de huidige standpunten van de toezichthouders, toe te passen. Bedrijven kunnen geen besluiten nemen op basis van de politieke waan van de dag. Als er beleid moet komen, dan zijn overheid of toezichthouders aan zet om die duidelijkheid te verschaffen. En als de overheid zich zorgen maakt, of concrete informatie heeft over lekken, zal ze meer moeten doen om bedrijven gericht te informeren, belangrijke informatie met ze te delen, en ze veel beter bij te staan bij het aanpakken van kwetsbaarheden.