Witold Kepinski - 07 april 2024

Brief Cyberveilig NL aan Autoriteit Persoonsgegevens over vorderen van informatie

Recent heeft de AP gegevens gevorderd bij een incident response bedrijf (Northwave Nederland) over een incident bij één van haar klanten (Leaseweb). "Als brancheorganisatie zijn wij verbaasd en geschrokken over deze ontwikkeling omdat wij van mening zijn dat deze de gehele cybersecuritybranche schaadt en dat daarmee ook de weerbaarheid van Nederland in het geding komt", zo meldt Cyberveilig Nederland.

Brief Cyberveilig NL aan Autoriteit Persoonsgegevens over vorderen van informatie image

Leaseweb werd eind augustus 2023 getroffen door een security-incident zo meldde Dutch IT Channel en Dutch IT Leaders exclusief op hun websites. ATPS Online meldde toen in een mededeling aan klanten dat de provider bezig is om alle componenten van zijn omgeving te herstellen. Leaseweb en Northwave, willen geen info, onder andere een onderzoeksrapport geven aan AP. Het AP wilde daarom een last onder dwangsom aan Northwave op te leggen, maar dat werd door de rechter van tafel geveegd. 

Naar aanleiding hiervan heeft Cyberveilig Nederland een brief geschreven zo meldt de organisatie op zijn website:

" In ons schrijven hebben we twee bezwaren tegen de aanpak van de AP geuit:

  1. De basis voor een goede dienstverlening van cybersecuritybedrijven aan hun klanten is vertrouwen. Dit vertrouwen wordt door de aanpak van de AP ondermijnd. Dit betekent dat we als branche het risico lopen dat organisaties met incidenten pas later of helemaal niet meer aankloppen bij deze dienstverleners omdat zij hiermee de controle over de afhandeling van een incident kwijtraken. De aanpak van de AP werkt hiermee marktverstorend.
  2. Als branche hebben we de afgelopen jaren hard gewerkt aan meer transparantie en het delen van informatie uit incidenten met elkaar en met de overheid om deze informatie in te zetten om incidenten elders te voorkomen. Ondanks dat dit geanonimiseerde informatie betreft, verwachten wij dat de branche zich als gevolg van de aanpak van de AP in deze initiatieven voortaan terughoudender zal opstellen omdat de gegevens die worden gedeeld onder een vergrootglas komen te liggen. Dit terwijl het delen van deze informatie leidt tot een hogere weerbaarheid van álle organisaties in Nederland en het verminderen van cyberdreigingen.

We wachten nog op een inhoudelijke reactie van de AP op ons schrijven"

De brief naar de AP is hier te lezen.
Het vonnis van de rechtbank is hier te vinden.

De NRC heeft ook aandacht voor de brief en heeft directeur Petra Oldengarm benaderd en een artikel (betaalmuur) geschreven.

Sophos All Colours BW 10-10-2024 tm 31-10-2024 Gartner BW tm 02-11-2024
Novutech BN+BW 23-09 tm 14-10-2024