Video-interview over het CSR Advies ‘Nederlandse Digitale Autonomie en Cybersecurity'

Ik ben Lokke Moerel,
ik ben hoogleraar Global ICT Law in Tilburg.
Ik ben advocaat bij het internationale kantoor
Morrison & Foerster.
En ik ben lid van de Cyber Security Raad
vanuit de wetenschap.
Ik ben Gerrit van der Burg,
voorzitter van het College van procureurs-generaal
van het Openbaar Ministerie.
Ik ben lid van de Cyber Security Raad
vanuit de publieke sector.
Nederland is een van de meest gedigitaliseerde
landen. Dat zag je heel goed in de coronacrisis
binnen no time werkten we allemaal vanuit huis
en ik denk eigenlijk dat iedereen ook wel aanvoelt
dat daardoor nieuwe afhankelijkheden
en kwetsbaarheden ontstaan.
En de kern van het advies van de CSR is
dat wij zien dat onze digitale afhankelijkheden
inmiddels zo groot zijn
dat de digitale soevereiniteit van Nederland
onder druk staat.
Maar de hamvraag is wat ons betreft:
Hoe behouden we als Nederland
ook in de digitale wereld
controle over essentiële economische ecosystemen
en democratische processen.
Nou, u moet zich voorstellen
digitale infrastructuur is heel erg belangrijk
voor onze economie, voor ons als burger,
maar zelfs ook voor de democratische rechtsorde.
Daarom moet die digitale infrastructuur
beschermd worden.
We moeten daar zeggenschap over houden.
Autonomie hebben over de veiligheid
van onze digitale infrastructuur.
Een aantal voorbeelden:
Als we niet blijven innoveren op kritische technologieën
kan onze soevereiniteit verder in gevaar komen.
Kijken naar artificial intelligence.
AI vergemakkelijkt cyberaanvallen.
Criminelen kunnen met AI automatisch
die kwetsbaarheden online ontdekken en ook uitbuiten.
Maar AI stelt ons ook in staat om kwetsbaarheden
automatisch op te sporen en te herstellen.
Een voorbeeld van de democratische processen
is bijvoorbeeld het verkiezingsproces.
Als onze staat geen controle daarover heeft
omdat het verkiezingsproces is geïnfiltreerd
en wordt gemanipuleerd door vreemde mogendheden,
dan staat onze digitale soevereiniteit onder druk.
In het vak, in het ambt van officier van justitie
is autonomie heel erg belangrijk.
Het treedt namelijk onafhankelijk op in zaken.
Dat betekent dat als het gaat om afhankelijkheden
en ontstaan afhankelijkheden van organisaties
van bedrijven, dat is riskant voor de professionaliteit
van ons vak.
Bescherming is nodig.
Datzelfde vraagstuk doet zich voor
als het gaat om de zeggenschap dat landen
kunnen hebben en moeten hebben
als het gaat om de zeggenschap over de digitale
infrastructuur.
Dus het is heel erg goed te vergelijken.
En de officier van justitie maakt dat eigenlijk
dagelijks mee.
Zeker in criminele activiteiten die via de computers
worden gepleegd.
Een specifiek voorbeeld uit mijn praktijk is dat
overheidsinstanties wanneer ze naar de cloud gaan
zich heel erg zorgen maken over compliants
met doorgifte regels onder de AVG.
Maar wij zien dat de issues veel breder zijn
dan toegang tot gegevens.
Het gaat echt om ons hele economische ecosysteem
Voorbeeld is dat voor data-analyse met behulp van AI
je enorme rekenkracht nodig hebt.
Daar heb je dan de cloud voor nodig.
De cloud infrastructuur is dus essentieel
voor innovatie en ons toekomstig verdienvermogen
daar over zeggenschap hebben is een wezenlijk
onderdeel van onze digitale autonomie.
De aanleiding voor dit advies is
dat wij constateren dat digitale soevereiniteit
op dit moment nog onvoldoende op de politieke
agenda staat in Nederland.
We benaderen cyber security vooral vanuit een
technisch en reactief perspectief.
En niet vanuit het perspectief van strategische autonomie.
We zien dat Europa daar echt het voortouw neemt.
Europa voelt heel erg de dreiging van wat we een
tech kolonialisme noemen.
En inmiddels is het herstel van onze digitale soevereiniteit
een kern ambitie in Europa.
De Raad wil met het advies bereiken dat het
chefsache wordt.
Veiligheid van onze digitale infrastructuur
moet in de bestuurskamer.
Moet eigenlijk de eerste vraag zijn bij
innovaties ontwikkelingen.
En moet eigenlijk gaan om de wetgever
die normen kan stellen als het gaat om de afhankelijkheid
van partijen bijvoorbeeld.
Moet gaan over bescherming van onze cloud.
Moet dus kortom gaan:
Bescherming van onze vitale onderdelen.
Een beter besef dat cyberveiligheid
niet alleen is de beveiliging van IT-systemen,
maar dat je cyberveiligheid ook vanuit een
breder perspectief moet bekijken,
digitale soevereiniteit.
En dat betekent niet dat we alles zelf moeten gaan doen.
Dat kunnen we als Nederland niet.
En dat moeten we ook zeker niet willen.
Dus daarvoor moet je als Nederland weten:
Wat zijn dan die huidige en toekomstige
kritische technologieën.
Wat is de infrastructuur die we daarvoor nodig hebben.
En wat zijn dan onze eenzijdige afhankelijkheden.
En op welke elementen gaan wij ons dan concentreren.
Die aansluiten bij waar we goed bij zijn.
Die passen in onze topsectoren.
En vooral...
...welke passen in de Europese innovatie agenda.
Waar ook we kunnen profiteren van EU in financiering.
Dus onze bedoeling is de overheid echt aan te zetten
tot een proactieve nationale strategie
voor digitale autonomie.
De Raad heeft een aantal prioriteiten voorgesteld.
Op de eerste plaats de cloud.
De cloud moet veilig zijn.
Daar hebben we zeggenschap op nodig.
Dus daar moeten normen voor komen
om die zeggenschap en die veiligheid
ook daadwerkelijk te bewaren.
Een tweede belangrijk speerpunt
is onze digitale communicatie.
Ook daar moet een bescherming steeds optimaal zijn.
En als derde het vraagstuk van cryptografie.
In de toekomst hoe gaan we versleuteling toepassen.
Hoe blijven we veilig kunnen versleutelen
zonder dat anderen erbij komen.
Dat zijn belangrijke speerpunten.
En er is een normenkader ontwikkeld.
Ook door de Cyber Security Raad
om gedragsrepertoire te ontwikkelen
om besturen, leiders de gelegenheid te geven
om te toetsen of innovatie en ontwikkelingen
wel voldoen en kunnen blijven voldoen
aan veiligheid maatstaven.