Ga direct naar inhoud

Advies breder beschikbaar stellen van datalekmeldingen voor onderzoeksdoeleinden overhandigd aan minister Grapperhaus

Nieuwsbericht | 11-02-2020 | 21:01

Op dinsdag 11 februari, Safer Internet Day, heeft de Cyber Security Raad (CSR) het Advies 'Breder beschikbaar stellen van datalekmeldingen voor onderzoeksdoeleinden' overhandigd aan minister Grapperhaus van Justitie en Veiligheid. Het advies omvat een projectvoorstel voor het - onder strikte voorwaarden - ontsluiten van bij de Autoriteit Persoonsgegevens (AP) gemelde datalekken voor wetenschappelijk en statistisch onderzoek. Doel is te komen tot algemene adviezen en aanbevelingen voor verbetering van de beveiliging van persoonsgegevens.

Minister Grapperhaus van Justitie en Veiligheid ontvangt een CSR Advies

De gegevens zullen worden ontsloten via het CBS en zullen vooraf zijn ontdaan van persoonsgegevens en bedrijfsnamen. Het onderzoeksvoorstel is tot stand gekomen in nauwe samenwerking tussen de raad en de AP. In het advies verzoekt de raad de minister in te stemmen met het voorgestelde onderzoeksproject alsook om de benodigde financiële middelen hiervoor beschikbaar te stellen. Minister Grapperhaus heeft het advies positief in ontvangst genomen.

Doel project

Het doel van het project, dat een looptijd heeft van anderhalf jaar, is om vast te stellen welke inzichten rondom beveiliging van persoonsgegevens kunnen worden afgeleid uit de meldingsdata en/of (en zo ja, onder welke voorwaarden) dit soort analyses structureel kunnen worden uitgevoerd na de projectfase. De onderzoeksomgeving krijgt vorm door het bestand met datalekmeldingen beschikbaar te stellen aan het Centraal Bureau voor de Statistiek (CBS). Hiermee creëert de AP ook de mogelijkheid dat het bestand voor statistische doeleinden gekoppeld kan worden aan andere relevante databestanden waarover het CBS beschikt. Het CBS heeft veel ervaring met de beveiliging van dit soort bestanden en met het regelen van ‘begeleide toegang’ tot de bestanden.

Verhoging cyberweerbaarheid

De meldplicht datalekken genereert elk jaar een substantiële hoeveelheid data rondom veiligheidsincidenten waarbij persoonsgegevens zijn betrokken. De raad is van mening dat een nadere analyse van deze informatie kan leiden tot aanbevelingen ter verbetering van de informatiebeveiliging ter bevordering van de cyberweerbaarheid van onze samenleving. Informatie over datalekken vormt een belangrijke bron voor inzicht in de daadwerkelijke effecten van veiligheidsmaatregelen (of het ontbreken daarvan). Beter onderzoek naar de effecten ervan zorgt ervoor dat organisaties beter weten in welke veiligheidsmaatregelen ze moeten investeren. De raad vindt informatie-uitwisseling van belang om de cyberweerbaarheid van ons land in het algemeen en organisaties in het bijzonder te verhogen en heeft in juli 2017 hier in het CSR-advies ‘Naar een landelijk dekkend stelsel van informatieknooppunten’ bij de minister van Justitie en Veiligheid op aangedrongen.

Aanleiding

Het voorstel om datalekmeldingen beschikbaar te stellen voor onderzoeksdoeleinden sluit aan op het in september 2019 gepubliceerde rapport van de WRR met als titel ‘Voorbereiden op digitale ontwrichting’. In dit rapport wordt opgeroepen tot het breder delen van incidentdata. Ook de meldingen van datalekken bij de AP worden daartoe gerekend.

Het voorstel hangt ook samen met een onderzoek dat in opdracht van de raad is uitgevoerd en heeft geresulteerd in het rapport met als titel Scientific research data breach notification obligation. In dit rapport wordt gewezen op het belang van het breder beschikbaar stellen van datalekmeldingen. Het onderzoek is in opdracht van de raad uitgevoerd door de Erasmus Universiteit en de Technische Universiteit Delft.

Downloads:

  • Onderzoeksrapport ‘Scientific research data breach notification obligation’

Documenten