Nieuw in de nieuwsbrief van Dutch Cloud Community is dat we een relevante greep doen uit het door DINL (onze Public Affairs organisatie) gebrachte nieuws in de afgelopen weken. Wij doen kort verslag van en lichten een paar voor onze sector belangrijke of interessante ontwikkelingen uit op wet- en regelgevingsgebied en over wat er in Brussel en Den Haag speelt.
Met dank aan Stichting DINL en aan Michiel Steltman (directeur Stichting DINL)
18 juli 2022
Nieuw beleid en Digitalisering
Digitalisering krijgt een prominentere rol bij nieuw beleid, aldus staatssecretaris Van Huffelen na goedkeuring van de prioriteiten binnen de I-strategie. De rijksbrede strategie zorgt dat ministeries en uitvoeringsorganisaties voortaan “Deze keuzes vormen het fundament voor onze ambities op het gebied van digitalisering. We moeten meer en beter inspelen op digitale ontwikkelingen in de maatschappij en economie. Door eerder, vaker en met meer expertise naar wetten en regels te kijken, willen we de dienstverlening aan burgers en bedrijven verbeteren en ons tegelijkertijd wapenen tegen risico’s”, aldus Van Huffelen.
Relevant:
11 juli 2022
Vitale Digitale Diensten
Minister Adriaansens is voornemens om meer digitale diensten aan te merken als ‘vitaal’, waardoor zij onder strengere cyberbeveiligingsregels zullen gaan vallen. Zij denkt hierbij aan meer DNS-dienstverleners dan nu het geval is en aan datacenters.
“Er is reden om in Nederland meer DNS-dienstverleners als essentieel te zien dan nu het geval is. Het gaat dan om aanbieders zoals hostingbedrijven die DNS- diensten leveren aan een groot aantal klanten, bijvoorbeeld in het mkb. Een incident bij een aanbieder kan leiden tot honderdduizenden onbereikbare websites, e-mailsystemen, enzovoorts”, aldus de minister.
“Voor deze aanbieders gaan dan de zorg- en meldplicht uit de Wbni gelden. Dat betekent dat zij ernstige incidenten moeten melden bij zowel het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid als bij de toezichthouder (meldplicht) en dat zij passende maatregelen moeten treffen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Het Agentschap Telecom zal toezicht houden op de naleving hiervan. Ook kunnen aanbieders terecht bij het NCSC voor advies en ondersteuning bij digitale dreigingen en incidenten.”
Ook relevant:
11 juli 2022
Regulering grote techbedrijven en platforms
Het Europees Parlement heeft tot vreugde van het Nederlandse kabinet ingestemd met zowel de Digital Services Act als de Digital Markets Act. Hiermee worden techbedrijven voor het eerst stevig op grote schaal gereguleerd. De DMA moet volgend jaar van kracht worden, de DSA gaat in 2024 in werking.
Minister Adriaansens: “We kunnen nu echt van start met de vernieuwing van de Europese digitale markt. Zo geven we ondernemers van klein tot groot groeikansen, bevorderen we eerlijke concurrentie en zijn consumenten beter beschermd. De DMA en DSA brengen digitale mogelijkheden voor iedereen dichterbij. We blijven innovatie stimuleren, zijn straks minder afhankelijk van grote platforms door meer markttoegang en gaan illegale inhoud, cybercriminaliteit en het misleiden van consumenten en ondernemers tegen”.
5 juli 2022
CSAM
Er is de afgelopen twee jaar geen zichtbare trend in termen van groei of afname in de hoeveelheid beeldmateriaal van seksueel kindermisbruik in Nederland, blijkt uit de rapportage TU Delft Monitor inzake online seksueel beeldmateriaal die minister Yeşilgöz met de Kamer heeft gedeeld. De minister noemt wel positieve resultaten van diverse recente publiek-private samenwerkingen, met verschillende goede ontwikkelingen bij hostingbedrijven en een hoge verwijdersnelheid van beeldmateriaal.
Tegelijkertijd noemt de minister het zorgelijk dat diverse domeinen met veel beeldmateriaal zich door de toegenomen druk in Nederland naar het buitenland verplaatsen. “Daarom zal ik waar mogelijk de Nederlandse aanpak bij andere landen onder de aandacht brengen, zoals reeds is gedaan door het aanbieden van de HashCheckService aan de lidstaten”, aldus Yeşilgöz.
Relevant: Kamerbrief: Rapportage TU Delft Monitor – online seksueel beeldmateriaal
Zie ook:
Lees ook:
“Meldpunt kinderporno ziet 93% minder meldingen, maar wat is er echt bereikt?”
https://dutchcloudcommunity.nl/nieuws/meldpunt-kinderporno-ziet-93-minder-meldingen-maar-wat-is-er-echt-bereikt/
5 juli 2022
Zeekabels en (digitale) infrastructuur in brede zin
Volgens minister Adriaansens zal binnenkort in een verkenningsbrief over digitale infrastructuur onder andere ingegaan worden op zeekabels. Volgens haar worden op korte termijn in ieder geval drie extra zeekabels gerealiseerd.
“Wij zien dat als een hele belangrijke stap in het verbreden van onze infrastructuur. In mijn verkenningsbrief over infrastructuur, die al een paar keer in dit debat ter sprake is gekomen, zal ik nader ingaan op hoe wij de ontwikkelingen zien op het gebied van onder andere zeekabels in het kader van de infrastructuur in brede zin”, aldus Adriaansens.
“Wij zijn in gesprek met een aantal partijen om het goed in de gaten te houden en met elkaar een goed begrip te hebben van wat er nodig is. We praten bijvoorbeeld met de Stichting Digitale Infrastructuur Nederland, met SURF, met Amsterdam Internet Exchange over wat er nou precies nodig is. Al die verkenningen hebben we ook nodig om in een goede visie te kunnen verwerken.”
Voor de zomer komt de staatssecretaris nog met een routekaart voor de I-strategie en met een stuk over cloudbeleid.
Relevant: Lees hier het debat terug
5 juli 2022
Minister Weerwind wil nog deze kabinetsperiode met een voorziening komen waarbij mensen laagdrempelig in staat worden gesteld om aanvragen te doen om online content te laten verwijderen. Dat laat hij weten in antwoord op Kamervragen van de SP naar aanleiding van de tragische beelden die online werden verspreid van een overleden jongen op Mallorca.
“Het is mijn ambitie om deze voorziening nog in de huidige kabinetsperiode tot stand te brengen en operationeel te hebben, maar ik vraag tegelijkertijd begrip voor het feit dat bij de inrichting van een dergelijk meldpunt zorgvuldigheid dient te worden betracht. Zo zal eerst een juridisch kader dienen te worden ontwikkeld waarbij zonder tussenkomst van de civiele rechter onrechtmatigheid kan worden vastgesteld”, schrijft Weerwind.
“Bij de beoordeling van online content dient bij de vaststelling van de rechtmatigheid daarvan ook rekening te worden gehouden met grondrechten als bijvoorbeeld het recht op vrijheid van meningsuiting en het recht op vrije nieuwsgaring. Daarnaast kan een meldvoorziening alleen succesvol zijn in nauwe afstemming met de internetsector.”
Relevant: Antwoord op vragen van het lid Van Nispen over het bericht dat tragische beelden op internet massaal gedeeld worden, tot groot verdriet van nabestaanden
28 juni 2022
De European Cybersecurity Certification Scheme for Cloud Services (EUCS) bevat soevereiniteitseisen voor Europese data, ondanks eerdere sterke kritiek vanuit diverse lidstaten en de particuliere sector, schrijft EURACTIV op basis van een ingeziene conceptversie van de wet.
“Het doel van deze specifieke eisen is om mogelijke inmenging van staten buiten de EU met de exploitatie van gecertificeerde clouddiensten adequaat te voorkomen en te beperken”, aldus het conceptdocument. De EUCS bestaat verder uit een vrijwillig, EU-breed kader van cybersecuritycertificaten, bedoeld om versnippering tussen lidstaten tegen te gaan en beveiligingskenmerken gemakkelijker inzichtelijk te maken.
Ondanks de vrijwilligheid van het kader zijn er zorgen vanuit de sector. Nederlandse belangenorganisaties Dutch Cloud Community (DCC) en stichting Digitale Infrastructuur Nederland (DINL) vrezen dat de EUCS, samen met de aankomende NIS2-richtlijn, alsnog verplichtingen en audits voor bedrijven zal opleveren. De organisaties hebben gezamenlijk een blog gepubliceerd waarin zij pleiten voor pragmatischer beleid.
Vanuit de Commissie wordt steeds gesteld dat de kritiek van techreuzen afkomstig is, en daarom zou aantonen dat de bepalingen noodzakelijk zijn. Maar naast genoemde bronnen uiten ook meerdere lidstaten en de brede EU-cloudindustrie hun zorgen. Over de zogenaamde ILN bepalingen (immunity to Non-EU law). Ook deelnemers aan de bij de certificering betrokken werkgroep bij ENISA hebben kritiek op de gang van zaken en zien forse risico’s voor de EU-cloudmarkt.
De Nederlandse OTC (Online Trust Coalitie) heeft de betreffende risico’s en zorgen al in oktober vorig jaar als eerste geadresseerd in hun position paper over certificering en assurance. Deze week zal de ENISA ECCG (European Cyber Security Certification Group) met lidstaten besluiten over de next steps mbt het EUCS.
Ook relevant: Artikel EURACTIV, Artikel Computable
Context:
Blog over EUCS:
.. “Compliance met de EUCS wordt zwaar, duur en in veel gevallen verplicht”
https://dutchcloudcommunity.nl/nieuws/compliance-met-de-eucs-wordt-zwaar-duur-en-in-veel-gevallen-verplicht/
28 juni 2022
Commissiedebat
De bewindspersonen Adriaansens en Jetten gaven afgelopen week tijdens het commissiedebat Datacenters blijk van realiteitszin en nuance. Adriaansens gaf terecht aan dat voor alles wat je doet in de economie, dus ook de digitale economie, digitale infrastructuur nodig is.
Minister Adriaansens stond tijdens haar beantwoording ook nadrukkelijk stil bij de meerwaarde van (hyperscale)datacenters. “Voorzitter, de meerwaarde van hyperscales. Even in algemene zin voor voorzitter, het is door een aantal van uw leden ook wel genoemd dat het dataverkeer groeit. Zoals wij werken: video’s streamen neemt, toe big data analytics neemt toe, cloud computing neemt toe, 5G, internet of things en allemaal zaken die wij in ons dagelijks leven gebruiken of waar het merendeel van de bevolking behoefte aan hebben en dat doet allemaal een beslag op de datacapaciteit en het data beheer. Dus we kunnen niet zeggen we doen daar niet aan mee want in de dagelijkse praktijk zijn we er gewoon continu mee bezig”, aldus Adriaansens.
Verder heeft Adriaansens diverse toezeggingen gedaan voor: een brief over de digitale economie (eind 2022), een brief naar aanleiding van de verkenning van de digitale infrastructuur (2023), een brief over het programma ‘grip’ over werklocaties (najaar 2023) en een appreciatie van het rapport ‘Beter beslissen over datacentra’ van het Rathenau instituut (voor het debat digitale zaken in het kader van de begrotingscyclus).
Ook bleek uit de beantwoording van minister Jetten dat de mogelijkheid voor nieuwe datacentra blijft bestaan. Jetten stond stil bij aanvullende verduurzamingsprikkels voor datacentra doormiddel van de aanscherping Wet milieubesparing per 1 januari, maar liet ook weten achter het besluit van de twee uitzonderingsgemeentes te staan. “Het probleem is de transportcapaciteit en de vraag of dat je straks die energie van zee door het hele land moet gaan transporteren als een datacenter zich ergens in het midden van het land vestigt.
Context:
Als sector verbazen we ons over deze discussie rond datacenters vanuit de Kamer en de eigenaardige polarisatie: ben je voor of tegen? We illustreren dat aan de hand van de fysieke economie. Voor mobiliteit zijn dat wegen, water en spoor. Voor digitaal: zendmasten, verbindingen en datacenters. Alles wat we online doen, waarvoor we internet gebruiken media, radio, retail, thuiswerken, de overheid, zorg, onderwijs, maar ook voor het realiseren van duurzaamheid staan de voorzieningen in datacenters.
Vanwege de aversie tegen Facebook en het gebrek aan kennis over de precieze werking van de digitale economie komt er een eigenaardige dynamiek op gang waarmee we ons onszelf gemakkelijk in de voet kunnen schieten. (aldus DINL)
22 juni 2022
Online Terroristische Content
Het kabinet deelt de zorg over de online verspreiding van radicale, extremistische en/of antidemocratische uitingen, maar brengt deze niet onder bij de taken van de Autoriteit voor het tegengaan van Terroristisch en Kinderpornografisch Materiaal (ATKM), schrijft minister Van Gennip als antwoord op vragen over de motie Becker. De minister geeft aan dat dit vanwege proportionaliteitsoverwegingen niet mogelijk is. “Om te bezien wat de mogelijkheden zijn om juist tegen dit soort schadelijke content op te treden zal de minister van Justitie en Veiligheid in kaart brengen over wat voor preventief en repressief instrumentarium landen om ons heen beschikken en welke mogelijkheden dit biedt voor Nederland”, aldus Van Gennep.
Antwoord op vragen van de leden Becker en Rajkowski over de uitvoering van de gewijzigde motie Becker c.s. over het structureel tegengaan van extremistische uitingen online
Zie ook:
14 juni 2022 Autoriteit terroristische content en kinderporno .. een nieuwe autoriteit voor 2 uiteenlopende kwesties
Ook relevant:
.. “Oproep aan de minister: wacht niet langer en zet de Nederlandse aanpak nu door”
https://dutchcloudcommunity.nl/nieuws/nederlandse-aanpak-kinderpornografisch-materiaal-op-losse-schroeven/
.. “Meldpunt kinderporno ziet 93% minder meldingen, maar wat is er echt bereikt?”
https://dutchcloudcommunity.nl/nieuws/meldpunt-kinderporno-ziet-93-minder-meldingen-maar-wat-is-er-echt-bereikt/
14 juni 2022
CTIVD
De ministers Ollongren en Bruins Slot ontkennen dat de inlichtingendiensten op wijkniveau willen kunnen tappen. Dat laten zij weten in een uitgebreide Kamerbrief waarin onder andere de antwoorden op Kamervragen van de PvdA zijn meegenomen. Aanleiding was een Volkskrant-artikel waarin was opgenomen dat de diensten de mogelijkheden zouden gebruiken om ongericht te kunnen tappen, maar de ministers spreken met klem tegen dat hier sprake van is.
Volgens hen zitten er allerlei waarborgen in de wet waarmee er alleen zeer gericht kan worden getapt. Overigens erkent het kabinet wel dat kabelinterceptie ongerichter is dan telefoontaps. “Gezien de aard van het middel zijn er dan ook in de Wiv 2017 aanvullende waarborgen opgenomen voor de toepassing van deze bevoegdheid en de omgang met de data die met deze bevoegdheid wordt verworven”, aldus de ministers.
Volgens hen is uit onderzoek van toezichthouder CTIVD gebleken dat er “op aspecten onrechtmatig is geïntercepteerd”. Inmiddels kijkt de CTIVD actief mee bij de beoordeling, hetgeen volgens de minister een positieve uitwerking heeft.
“Door de dialoog tussen de diensten en de CTIVD tijdens de inzet van kabelinterceptie kunnen (risico’s op) onrechtmatigheden in een vroeg stadium worden onderkend. Dat stelt de diensten in staat om vroegtijdig maatregelen te treffen om de onrechtmatigheden te voorkomen of weg te nemen. De waarborgen zijn daarmee effectief, zowel voor de bescherming van de persoonlijke levenssfeer als voor de doeltreffende uitvoering van de taken van de diensten”, aldus de bewindslieden.
Zie ook:
22 Mei 2022 – Sleepwet: grootschalig aftappen door inlichtingendiensten toch mogelijk
14 juni 2022
Een nieuwe autoriteit voor 2 uiteenlopende kwesties
Minister Yeşilgöz-Zegerius verwacht deze zomer het wetsvoorstel naar de Kamer te sturen dat regelt dat hostingbedrijven verplicht kunnen worden kinderpornografisch materiaal offline te halen. Dat laat ze weten in reactie op Kamervragen van de ChristenUnie. Verder laat de minister weten dat ze hoopt dat in het najaar de autoriteit die toeziet op terroristische en kinderpornografische content van start gaat.
“De autoriteit krijgt zowel een toezichthouderstaak op terroristische online-inhoud als op kinderpornografisch materiaal. Voor beide toezichthouderstaken is een wettelijke grondslag nodig. De autoriteit kan operationeel worden op de desbetreffende toezichthouderstaak als de daarbij horende wetgeving in werking treedt”, aldus de minister.
Antwoord op vragen van het lid Bikker over ‘de voortgang omtrent de autoriteit terroristische content en kinderporno’
Ook relevant:
Oproep aan de minister: wacht niet langer en zet de Nederlandse aanpak nu door”
7 juni 2022
Voorbij de wettelijke grenzen van informatiedeling
Het Nationaal Cyber Security Centrum (NCSC) heeft digitale aanvallen op de Nederlandse economie en samenleving kunnen afweren, maar heeft hiervoor in ruimere zin informatie gedeeld dan de Wet beveiliging netwerk- en informatiesystemen (Wbni) toestaat, blijkt uit een Kamerbrief van minister Yeşilgöz-Zegerius.
De minister heeft op verzoek van de Kamer in het commissiedebat van 25 mei, over een mogelijke uitbreiding van de bevoegdheden van de NCSC voor inwerktreding van de wetswijziging, een overzicht gemaakt van gevallen waarin het NCSC in ruimere zin dan wettelijk mogelijk heeft gehandeld.
“Hiermee zijn onder meer grote ransomware-aanvallen voorkomen, hebben aanbieders de continuïteit van hun dienstverlening kunnen waarborgen en is kwaadwillenden de toegang tot grote hoeveelheden, mogelijk gevoelige informatie over bedrijfsprocessen, klanten of burgers verhinderd. Hierdoor zijn mogelijk ook verstorende keteneffecten richting vitale aanbieders of onderdelen van de Rijksoverheid uitgebleven”, aldus de minister in de toelichting op het overzicht.
Context:
NIS2 is een uitbreiding van de huidige NIS (in NL de WBNI) en zal ca 160.000 providers raken. Er zitten veel goede dingen in de NIS2 zoals verplichtingen voor overheden om zaken beter te coordineren en informatie te delen met het brede bedrijfsleven.
22 mei 2022
Schriftelijk overleg Data Act
Het kabinet wil meer uitleg van de Europese Commissie over de mogelijkheid in de voorgestelde Data Act (Dataverordening) om publieke instellingen de mogelijkheid te bieden om data op te kunnen vragen. Dat blijkt uit het schriftelijk overleg naar aanleiding van vragen van diverse partijen. Volgens het kabinet is in het voorstel onvoldoende duidelijk gemaakt in welke uitzonderlijke situaties het opeisen van data gerechtvaardigd is. “Het kabinet heeft zorgen dat de gecreëerde bevoegdheid om in gevallen van uitzonderlijke noodzaak data op te vragen bij datahouders te verstrekkend is en dat het voorgestelde kader te weinig waarborgen omvat”, zo valt te lezen.
Verder laat het kabinet weten te accepteren dat de administratieve lastendruk bij bedrijven zou kunnen stijgen als gevolg van de verordening. “Tegenover de kosten staan voordelen voor het bredere bedrijfsleven en consumenten die de kosten overstijgen”, aldus het kabinet, dat aangeeft dat de geraamde kosten in het impact assessment een overschatting lijken te zijn.
Het kabinet laat verder weten dat de wet een stimulans moet vormen voor het breder inzetten van data, ook voor maatschappelijke doeleinden. “Momenteel is het in veel gevallen zo dat data uit IoT-producten alleen door de fabrikant van die producten wordt gebruikt terwijl die data ook nuttig kunnen zijn voor andere partijen dan de fabrikant”, aldus Adriaansens.
“Door gebruikers het recht te geven deze data zelf te gebruiken of door derde partijen toegang te geven zal de data uit IoT-producten door meer partijen benut kunnen worden, terwijl tegelijk de grip op deze data voor de gebruiker van een IoT-product wordt versterkt. Daardoor kunnen deze data voor meer verschillende maatschappelijke en economische doelen gebruikt worden dan nu het geval is.”
In het overleg worden diverse kanten van de Data Act besproken, waaronder de mogelijke implicaties voor Nederland. Zo weet het kabinet nog niet welke partij (of partijen) de verantwoordelijkheid krijgt om geschillen te beslechten, schrijft minister in haar antwoord op vragen van D66. Hiervoor wordt in eerste instantie gekeken naar de ACM, de AP en AT.
Verslag van een schriftelijk overleg over het EU-voorstel: Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening) en het BNC-Fiche: Dataverordening
Uitleg:
De Data-Act kan impact hebben op projecten zoals de data-exchange, en op Cloud in het algemeen. Bij een goede wet komen er kansen voor digitaal MKB, en wordt data-delen makkelijker en komen er goede kaders.
22 Mei 2022
Sleepwet
grootschalig aftappen door inlichtingendiensten toch mogelijk
De Volkskrant schrijft dat de ‘sleepwet’, het grootschalig aftappen van communicatie via internetkabels door inlichtingendiensten, toch mogelijk is geworden. Op basis van gesprekken met anonieme betrokkenen blijkt dat de AIVD en MIVD hebben gekozen om de interceptie van data in te richten bij grote kabelpartijen. Hierdoor is het alsnog mogelijk om niet alleen op buurt- of wijkniveau, maar regio-overstijgend data te verzamelen.
De kritiek vanuit de politiek is groot: de oorspronkelijke wet is in 2018 aangepast met een aantal beleidskaders als gevolg op maatschappelijke druk en de uitslag van het raadgevend referendum. “Wat de diensten nu willen en kunnen, is allesbehalve doelgericht. Het is niet in overeenstemming met wat de Kamer heeft gevraagd en ook niet met wat de Kamer destijds is beloofd”, aldus oud-D66-Kamerlid Kees Verhoeven, die uiteindelijk voor de aangepaste wet heeft gestemd.
Tijdens de regeling van werkzaamheden heeft Thierry Baudet (FvD) een debat met de ministers van BzK en Defensie aangevraagd. Dit werd geblokkeerd door de coalitie, die verwezen naar het debat wat die week gepland stond over de hoofdlijnenbrief digitale zaken. Dit debat is echter uitgesteld naar een later moment. Wel zal het kabinet gevraagd worden om uitleg in een Kamerbrief naar aanleiding van het Volkskrant-artikel.
Opinie Kees Verhoeven: Stiekem gedoe bij sleepwet legt digitale controledrift overheid bloot
