Cybersecurity is in vrijwel ieder onderdeel van de samenleving een gespreksonderwerp. Het is dan ook niet gek dat politieke partijen er ook aandacht aan besteden in hun partijprogramma’s. Maar slaat het ook ergens op wat ze daarin zeggen te gaan doen of in ieder geval als visie uiteenzetten? We hebben een aantal security-experts wat vragen gesteld hierover.
Van zes experts/bedrijven kregen we uiteindelijk tijdig antwoord. We hebben de antwoorden aan de drie algemene thema’s opgehangen die we uit de partijprogramma’s hebben gehaald: de rol van de overheid, cyberweerbaarheid en privacy.
Voor een overzicht van namen en rugnummers van de bedrijven en mensen die hebben gereageerd, verwijzen we je naar het kader elders op de pagina. Niet alle experts hebben al onze vragen beantwoord. Er zijn dus secties met wat minder input.
Rol van de overheid: Ministerie van Digitale Zaken
Als eerste hebben we enkele vragen over de rol van de overheid gesteld. Daarbij speelt het al dan niet opzetten van een Ministerie van Digitale Zaken nog altijd een belangrijke rol. Veel partijen hebben dit, of iets soortgelijks, in hun programma staan. Van kleinere partijen zoals Bij1 en Volt, naar grotere als D66 en NSC. NSC noemt het overigens een centrale autoriteit, zonder het expliciet een ministerie te maken. Of dat meer is dan het staatssecretariaat van dit moment, is lastig in te schatten.
Onze vraag op dit punt aan de experts was vooral wat een minister voor Digitale Zaken voor taken zou moeten krijgen. Willemijn Rodenburg van Fox-IT is hier vrij uitgesproken over: “Een Minister van Digitale Zaken is enkel en alleen een toevoeging als deze minister mandaat en zeggenschap heeft over de IT-infrastructuur (in alle opzichten) van de Rijksoverheid en daarbij beleid kan stellen richting de decentrale overheid.” Veel ligt nu tamelijk versnipperd over verschillende ministeries. Cybersecurity ligt bij het Ministerie van Justitie en Veiligheid, economische spionage ligt bij het Ministerie van Defensie. Er is wel een CIO voor het Rijk, maar die heeft in de praktijk niet de macht om dingen te forceren, volgens haar.
Fred Streefland van Secior stelt iets soortgelijks vast. Ook hij heeft het over “digitale (deel-)taken die nu versnipperd onder andere Ministeries vallen”, die hij het liefst onder zou brengen bij een Minister van Digitale Zaken. Hij somt enkele van deze taken op:
- Digitale veiligheid van onze kritieke infrastructuur (nu bij V&J)
- Digitale geletterdheid/curriculum Digitale zaken op scholen (nu bij Onderwijs)
- Digitale beveiliging van de overheid centraliseren (ieder Ministerie heeft nu zijn eigen ‘cybersecurity afdeling’)
- Digitale toekomst dossiers zoals AI, Quantum, etc.
Pieter Jansen van Darktrace legt in zijn antwoord een ander accent. Hij zou graag naar Engels voorbeeld een “Minister van AI en IP” willen zien. Althans, hij zou er meer aandacht voor willen. Dit is volgens hem “in lijn met de trends in de digitale wereld”. “AI-gebaseerde dreigingen steken steeds vaker de kop op en dit zal enkel toenemen”, vervolgt hij. Na de introductie van ChatGPT een jaar geleden heeft Darktrace zelf al een toename van 135 procent gezien in zogeheten novel social engineering aanvallen. Dat zijn aanvallen op basis van de inzet van AI. Daarnaast vindt hij dat IP-bescherming te weinig aandacht krijgt: “Alleen de grote spelers in Nederland hebben op dit moment de middelen om de juiste bescherming van hun IP toe te passen.”
Rol overheid: publiek-private samenwerking
Om een vuist te kunnen maken tegen de cyberdreigingen waar Nederland en de bewoners ervan mee te maken (kunnen) krijgen, is het belangrijk om vanuit de overheid de samenwerking met private partijen op te zoeken. Samen staan de publieke en private sector sterker tegen aanvallers dan alleen. Onder andere BVNL en GL/PvdA hebben reppen hierover in hun programma’s.
Op basis van de terugkoppeling die we hebben ontvangen van onze experts, zijn de meningen enigszins verdeeld. Jansen van Darktrace wijst erop dat er met Cyberveilig Nederland op zich al een goede basis ligt. “Dit initiatief vanuit het bedrijfsleven wordt steeds vaker gevonden door de overheid”, geeft hij aan. Hij wijst erop dat dit inmiddels al heeft geresulteerd in een samenwerkingsverband met onder andere het OM, NCSC en de politie. Wel noemt hij dit expliciet een begin en wijst hij erop dat het nog beter kan en moet.
Een bedrijf van het formaat van Cisco speelt vanzelfsprekend ook een belangrijke rol in de discussie rondom samenwerking tussen private en publieke spelers. Met name met Digitale Versnelling Nederland-programma is er sprake van een duidelijke koppeling tussen de twee onderdelen. Dat programma, dat wereldwijd Country Digital Acceleration heet, is erop gericht om samen met overheden landen te laten digitaliseren. Met andere woorden, Cisco rolt dat alleen uit in een land als de overheid meedoet. Een ander voorbeeld vanuit Cisco is HackShield, een programma dat het bedrijf samen met de overheid heeft opgezet om kinderen in kwetsbare leeftijdsgroepen te helpen om zich “online beter te kunnen oriënteren”, in de woorden van Jan Heijdra van Cisco.
Volgens Streefland is er nog wel het nodige te winnen op dit punt. Hij heeft uitgebreide ervaring op dit punt (in het verleden ook als CISO bij meerdere bedrijven) en geeft aan dat de samenwerking vooral eenzijdig was. “De overheid neemt graag, maar geeft weinig”, vat hij het samen. Hij wijst vooral op de AIVD op dit punt. Wel maakt hij een uitzondering voor het NCSC. Hij noemt dat de “enige overheidsinstantie die wel proactief samenwerkt met het bedrijfsleven”. Deze instantie krijgt sowieso de nodige lof toegezwaaid, bijvoorbeeld ook door Mark van Leeuwen van Okta. Hij benoemt ook expliciet de samenwerking met het NCSC als bestaand voorbeeld van een samenwerkingsverband.
Dat een samenwerking belangrijk is, onderstreept Filip Verloy van Rubrik in zijn antwoord op onze vragen. Hij noemt dergelijke samenwerkingen essentieel. De reden hiervoor is eenvoudig: “Grote bedrijven hebben vaak meer middelen en talent beschikbaar dan de overheid om de strijd tegen cybercriminaliteit aan te gaan.” Daarbij horen we echter ook de echo van de woorden van Streefland weer terug. “Idealiter is een dergelijke samenwerking gebaseerd op transparantie en het delen van kennis, expertises en ervaringen. Het opzetten van een platform voor kennisdeling waar zowel de overheid als organisaties in de private sector hun experitse en middelen kunnen inbrengen, is een stap in de goed richting.”
Het probleem is dat er “tot op de dag van vandaag geen officiële procedures zijn voor het snel delen van informatie tussen de publieke en private sector”, geeft Verloy aan. Dat is dus ook wat Streefland hierboven al constateerde, in andere bewoordingen. Dit is echter wel zeer belangrijk, want anders blijft belangrijke informatie hangen in silo’s. Dat komt de transparantie en hiermee de weerbaarheid niet ten goede.
Rodenburg van Fox-IT wijst tot slot ook nog op de praktische voordelen van een goede, langdurige samenwerking tussen de publieke en private sector als het gaat om cybersecurity. “Het systeem van aanbestedingen is binnen het cybersecurity- en cryptodomein een achterhaald systeem. Vandaag bedenken wat je wilt, betekent over 18 maanden een Request for Proposal (RFP), betekent over 21 maanden (18+3) een deal. Dat betekent uiteindelijk dat een product of dienst van vandaag houdbaar moet zijn voor de komende 3-6 jaar. In een veranderende wereld zoals cybersecurity is dit niet realistisch en moet de overheid samen met de private sector een stelsel willen van langdurige samenwerking met meerdere private organisaties.” Dit heeft overigens ook implicaties voor de private sector, die ook op een andere manier met concurrenten moeten gaan samenwerken, voegt ze toe.
Panel van experts
Voor dit artikel hebben we zes experts die hun sporen verdiend hebben bij bekende en relevante securitybedrijven gevraagd naar hun reacties op de ideeën rondom cybersecurity vanuit de politiek. Hieronder tref je overzichtelijk de namen en functietitels van deze mensen.
- Sander Dorigo, Senior Security Architect bij Fox Crypto
- Jan Heijdra, Security Specialist bij Cisco Nederland
- Pieter Jansen, SVP of Cyber Innovation bij Darktrace
- Mark van Leeuwen, Regional Vice President Benelux bij Okta
- Willemijn Rodenburg, Relationship Manager Government bij Fox-IT
- Fred Streefland, CEO van Secior
- Filip Verloy, Field CTO EMEA & APJ Rx bij Rubrik
Cyberweerbaarheid: minder afhankelijkheid van (grote) techbedrijven
Het tweede overkoepelende thema dat we uit de partijprogramma’s halen heeft te maken met cyberweerbaarheid. Op dit punt komen we bij de nodige partijen, waaronder het CDA en D66 de wat vage wens tegen om minder afhankelijk te worden van techbedrijven. Maar hoe realistisch is dat? Volgens Sander Dorigo van Fox-IT is dat met betrekking tot bedrijven zoals Google, Amazon en Microsoft alleen realistisch “als de overheid het toestaat en mogelijk maakt om kleine bedrijven te laten ontstaan en concurreren. Nu hebben deze partijen de markt naar zich toegetrokken en de deur achter zich dichtgeslagen.” Wat we nodig hebben zijn “open markten, dus open app stores, open standaarden voor clouddiensten en het teruggeven van de markt aan de markt”, concludeert hij.
De vraag is of bovenstaande iets is wat de Nederlandse overheid moet doen. Daar is Heijdra van Cisco duidelijk over: “Het is nog niet aan de orde om dit [de afhankelijkheid van techbedrijven indammen, red.] op nationaal niveau af te dwingen. In plaats daarvan zou dit doel op EU-niveau moeten worden geregeld. De reden hiervoor is dat technologie en digitale diensten grensoverschrijdend zijn, en veel techbedrijven wereldwijde operaties hebben. Daarom is een gecoördineerde aanpak op Europees niveau noodzakelijk om ervoor te zorgen dat we niet volledig afhankelijk zijn van een handvol grote techbedrijven.”
Je kunt het echter ook afvragen of de wens om minder afhankelijk te willen zijn van techbedrijven die enkele partijen in hun programma’s formuleren wel haalbaar is. Streefland is hier duidelijk over (en we zijn geneigd om het hiermee eens te zijn, overigens): “Dat is volgens mij niet realistisch, want de bevolking wil nu eenmaal digitaal ‘gevoed’ worden met informatie op hun iPhone, laptop en andere apparaten. Auto’s zijn geen auto’s meer, maar ‘software op wielen’ (hetzelfde geldt voor andere vervoersmiddelen) en de hele wereld hangt samen aan het internet (en de onderliggende software). Mensen willen vooruitgang en niet meer terug naar de ‘stone age’. Dus dit is niet realistisch.” Als je dit anders interpreteert, zou het op zich wel kunnen, maar dan moeten we bereid zijn om behoorlijk wat dingen waar we aan gewend zijn weer in te leveren.
Cyberweerbaarheid: quantum-proof worden
Verschillende politieke partijen (D66, NSC, VVD) hebben vrij expliciete verwijzen naar quantum computing en de wens om quantum-proof te worden in hun programma’s staan. Die hebben in ieder geval ergens een klok horen luiden.
Op basis van de input die we van onze experts hebben ontvangen, zal het zo’n vaart nog niet lopen met de dreigingen van quantum computing op het gebied van cybersecurity. Dat wil zeggen, het zal nog wel even duren voordat dit echt een probleem wordt. De consensus is echter wel dat het een groot probleem zal worden. Doringo geeft aan dat de overheid rekening houdt met ongeveer 2030 als jaar waarin het door zal breken.
Voor nu zijn er echter andere problemen die we eerst moeten aanpakken, geeft Jansen aan: “Deze dreiging gaat in de toekomst zeker groot worden, maar laten we de dreiging van AI-gebaseerde aanvallen niet onderschatten. Wij hebben al vast kunnen stellen dat deze aanvallen plaatsvinden en de meeste organisaties niet in staat zijn om deze te kunnen herkennen laat staan af te weren.” Nu vertegenwoordigt Jansen een bedrijf dat zich specifiek bezighoudt met AI-gerelateerde zaken, dus is het voor een deel preken voor eigen parochie. Maar het punt is zeker terecht wat ons betreft. We moeten eerst maar eens zorgen dat we de bestaande problemen het hoofd kunnen bieden. Streefland noemt in dit opzicht ook nog de basale digitale beveiliging, die nog niet in orde is. Zolang dat het geval is kun je standaarden bedenken tot je een ons weegt. Die zullen dan echter niet veel effect hebben.
Quantum-proof worden is daarnaast zeker erg belangrijk. “Met name het potentieel van quantumcomputers om bestaande encryptiestandaarden (met terugwerkende kracht) te kraken en gevoelige informatie toegankelijk te maken, is reëel”, volgens Heijdra. Waarbij ook hij aangeeft dat dit pas in de toekomst een groot probleem wordt, omdat de systemen die dit kunnen doen nog niet breed beschikbaar zijn. Het is volgens hem al wel zaak om een kennisplatform te ontwikkelen om richting quantum-proof te gaan. Verloy stipt aan dat het ontwikkelen van securitystandaarden voor quantum geen eenvoudige klus gaat worden. Er moet worden geïnvesteerd in onderzoek. Daarnaast zal er een overgangsperiode zijn, waarin quantum-proof standaarden naast traditionele standaarden zullen bestaan. Dat zal extra complexiteit met zich meebrengen.
Cyberweerbaarheid: digitale geletterdheid
Een van de basisbeginselen voor cyberweerbaarheid is toch wel digitale geletterdheid wat ons betreft. Dat komt niet heel vaak voor in de programma’s, al zijn er her en der hints in deze richting te vinden.
Digitale geletterdheid zou in alle programma’s moeten staan, is Streefland van mening. “Iedere partij die dit niet het verkiezingsprogramma heeft staan, begrijpt er niets van”, geeft hij ongezouten zijn mening. Hij wijst er echter ook op dat er inmiddels wel wat goede initiatieven zijn, waarbij hij wijst op het al eerder genoemde HackShield. Ook Rodenburg van Fox-IT noemt dit project bij naam. Het mag duidelijk zijn dat ook Heijdra van Cisco het noemt. Het is immers een project van dat bedrijf. Daarnaast heeft het ook de Networking Academy. Dat zijn gratis cursussen om de kennis rondom digitalisering, IoT, cybersecurity en programmeren te vergroten.
Verloy geeft als voorbeeld ook nog de campagne van Alert Online, van het kennisplatform Veilig Internetten. Daarnaast ziet hij dat onderwijsinstellingen er steeds vaker mee aan de slag gaan in onderwijsprogramma’s. Dat laatste is iets wat volgens Streefland standaard onderdeel moet zijn van iedere opleiding. “Dus ga leraren opleiden voor dit vak en maak het verplicht vanaf groep 4 van de basisschool, want dat is ongeveer de leeftijd waarop kinderen een mobieltje van hun ouders krijgen”, geeft hij als advies. Verloy ziet ook nog voldoende ruimte voor verbetering overigens. Met name de digital natives delen vaak snel persoonlijke informatie online, geeft hij als voorbeeld. En langzaam maar zeker wordt iedereen een digital native. “Met de snelle ontwikkelingen in het cybersecuritylandschap is het belangrijk om deze ‘digital natives’ op te leiden tot ‘security natives’, om het cyberbewustzijn te verhogen”, volgens hem.
Vanuit Fox-IT horen we de bovenstaande sentimenten ook. Rodenburg noemde al HackShield als goed initiatief, maar onderschrijft ook zeker de standpunten hierboven over het creëren van digitale geletterdheid vanaf de basisschool. Dorigo voegt hier echter ook nog iets zinvols aan toe. Hij zou ook graag meer investeringen zien vanuit de overheid in proceskwaliteit. Digitale geletterdheid is namelijk erg lastig als er geen standaardprocessen zijn. DigiD en e-herkenning zijn voorbeelden van dergelijke processen. Op dit moment lijkt iedere gemeente het op zijn eigen manier te doen. Dan is digitale geletterdheid creëren (niet alleen bij jongeren, maar ook bij ouderen) erg lastig.
Cyberweerbaarheid: wet- en regelgeving zoals CRA, NIS2, AI Act, DORA
Het laatste thema rondom cyberweerbaarheid dat we in dit artikel willen behandelen, is alle vanuit Europa ‘opgedrongen’ wet- en regelgeving. Dit komt eigenlijk vrij weinig voor in de programma’s van de politieke partijen. We hebben bij D66 expliciet een verwijzing naar een Europese Wet rondom cyberveerkracht (waarbij we aannemen dat dit de Cyber Resilience Act is) voorbij zien komen. Verder blijft het behoorlijk stil. Op zich ook niet heel vreemd, want we hebben het hier over een landelijke verkiezing. Toch hadden we iets meer verwacht. Zeker als je bedenkt dat veel zaken die we hier landelijk moeten implementeren op het gebied van cybersecurity, vanuit Brussel naar de landen worden uitgerold.
De grote vraag is of dit soort wetgeving de mensen en organisaties in ons land beter cyberweerbaar maken. Dorigo en Rodenburg staan hier dubbel in. Dorigo is van mening dat het de kwaliteit in het algemeen zal verhogen. Bedrijven zullen de kosten ervoor echter snel afschuiven op de consument. Daarnaast vindt hij dat er onredelijk strenge eisen gesteld worden aan bepaalde sectoren. Hij gaat in zijn antwoord niet in op welke sectoren dat dan zijn en welke eisen onredelijk zijn helaas.
Rodenburg ziet enerzijds ook dat het nodig is dat er regels gesteld worden aan de basismaatregelen van organisaties in het belang van de veiligheid, economie en maatschappij. Ook zij ziet echter dat kosten zullen worden doorberekend. Dit terwijl de overheid de handen van de kwestie aftrekt nadat het de regels heeft vastgesteld. De overheid zou er volgens haar goed aan doen om de boetes voor bedrijven kwijt te schelden als deze bedrijven een bepaalde percentage van hun inkomsten of een specifiek bedrag hebben besteed aan het op orde brengen van de basismaatregelen. “Het doel is niet geld innen, het doel is veiligheid”, vat ze samen. Tot slot ziet ze een risico, namelijk dat compliance aan dit soort regels en wetten boven veiligheid gaat. En dan zijn we verkeerd bezig.
Jansen van Darktrace staat een stuk optimistischer in dit vraagstuk, en dan specifiek als het gaat om NIS2. Hij stelt het volgende: “De NIS2-wetgeving zal de cyberweerbaarheid vergroten onder dwang van boetes en aansprakelijkheid. Dit is helaas de enige manier om grote veranderingen teweeg te brengen in deze sector, omdat bij veel organisaties cybersecurity nog niet in hun kernprocessen is verankerd. NIS2 verandert dit en zorgt ervoor dat cybersecurity de juiste aandacht krijgt. Wat GDPR heeft veroorzaakt op het gebied van privacy-awareness, zal NIS2 doen op het gebied van cyberweerbaarheid.” Dit standpunt gaat uit van het eindresultaat. Sommige van de bezwaren die de experts van Fox-IT hierboven opsommen kunnen natuurlijk wel nog gewoon gelden. Jansen lijkt in ieder geval niet te vrezen voor een compliance-gedreven gevoel van veiligheid.
Streefland maakt dat onderscheid juist weer wel. “Een dergelijke wetgeving (bijvoorbeeld NIS2) zorgt voor een verhoging van de awareness, maar moet geen ‘tick-in-the-box’ afvinklijstje worden. Het vergroot de cyberweerbaarheid op het moment dat organisaties de wetgeving als kapstok gebruiken en niet als doel op zich.” Dat laatste is cruciaal. Er moet intrinsieke motivatie zijn om de cyberweerbaarheid te verhogen. Dat is ook waar Verloy op doelt als hij aangeeft dat nieuwe regelgeving “bedrijfsleiders en bewindvoerders gaat forceren om hier [cyberweerbaarheid, red.] concreet mee aan de slag te gaan”. Van Leeuwen gebruikt woorden van gelijke strekking. Waarna hij aangeeft dat cyberweerbaarheid zeker niet alleen maar extra werk en investeringen betekent. “Bij een pragmatische aanpak kan de regelgeving zelfs de bedrijfsvoering bevorderen”, volgens hem. Dat zit dan vooral in de verwachting dat bedrijven liever samenwerken met bedrijven die hun zaakjes goed op orde hebben.
Privacy: client-side scanning
Het laatste overkoepelende thema dat we uit de verkiezingsprogramma’s hebben gefilterd is privacy. Je kunt erover twisten of dit strikt genomen cybersecurity is of niet, maar het zit er zeker heel dicht tegenaan. Vandaar dat we het hier ook willen behandelen.
Client-side scanning is veel in het nieuws en heeft ook zijn weg gevonden naar het partijprogramma van D66 en PvdD, die er fel op tegen zijn. Client-side scanning is een manier om ongewenste content af te vangen voordat het verspreid wordt. Het is onderaan de streep echter ook gewoon een backdoor in een bepaald product of dienst. Dorigo noemt dit onomwonden “zeer onwenselijk”. Hij wijst erop dat het al onmogelijk is gebleken om een veilige chat-omgeving te bouwen, ook al is deze end-to-end encrypted. Denk maar aan alle spam en scams via WhatsApp. “Daar opzettelijk een backdoor inbouwen ten behoeve van client-side scanning levert alleen maar grotere beveiligingsrisico’s op, en weegt niet op tegen de voordelen die het zegt te bieden”, is zijn stellige overtuiging.
Streefland is eveneens geen voorstander van client-side scanning. “End-to-end encryptie is er niet voor niets”, stelt hij. “Dit bevordert de security van de berichten, maar zorgt ook voor de veiligheid van de afzender. Ik vind dat privacy nooit de reden moet zijn om de security (en dus de end-to-end encryptie) af te zwakken.” Verloy is iets milder in zijn bewoordingen en keurt het niet bij voorbaat af. Ook hij wijst echter op de zorgen die client-side scanning met zich meebrengt. Mocht het er uiteindelijk wel komen, “dan moeten er strengere securitymaatregelen worden genomen, zoals strikte toegangscontrole en monitoring, en regelmatige beoordelingen van de systemen”.
Privacy: identiteit en anonimiteit
Heb je het over privacy, dan heb je het ook over identiteit. NSC wil bijvoorbeeld dat grote techplatforms worden verplicht om de werkelijke identiteit achter accounts in hun administratie vast te leggen. Doen ze dit niet, dan kunnen ze forse boetes krijgen. Ook dit noemt Dorigo “onwenselijk”. “Er zijn voldoende redenen om je anoniem of onder een pseudoniem op het internet te begeven. Daarnaast worden techbedrijven regelmatig gehackt en is het risico groot dat die gegevens ongewenst online komen”, geeft hij aan. Daarnaast zijn er volgens hem al voldoende mogelijkheden voor de overheid om de identiteit van anonieme gebruikers te achterhalen.
Streefland is het hier niet helemaal mee eens. Hij vindt de vraag of een dergelijke verplichting wenselijk is een lastige. Hij vindt echter ook dat techplatforms en hosters geen diensten zouden moeten aanbieden aan klanten die hun identiteit niet hebben bewezen. Geen ID, geen account, is zijn standpunt. Hij realiseert zich echter ook dat dit niet in alle gevallen mogelijk zal zijn. Het zal een lastig vraagstuk blijven, verwacht hij.
Privacy: ruimte voor de veiligheidsdiensten
Tot slot komen we dan uit bij het laatste onderwerp dat we uit de partijprogramma’s hebben weten te halen. BBB en JA21 hebben in hun programma staan dat veiligheidsdiensten meer ruimte moeten krijgen om cyberaanvallen tegen te gaan. Wat vinden de experts hiervan?
Twee van de vier experts die deze vraag hebben beantwoord zien de noodzaak hiervan niet zo. Volgens Streefland hebben de veiligheidsdiensten op dit moment al genoeg ruimte (en is deze recent nog iets uitgebreid). Hij denkt niet dat het ligt aan voldoende ruimte, maar aan de capaciteit van die diensten. “Ik denk eerder dat de veiligheidsdiensten niet de gewenste capaciteit hebben, zowel kwalitatief als kwantitatief om alles te kunnen doen wat zij zouden willen in hun strijd tegen cyberaanvallen”, is hij van mening. Met andere woorden, de diensten kunnen beter investeren in kennis en middelen.
Dit is ook wat Dorigo aangeeft: “De mogelijkheden voor de politie om digitale opsporing te doen zijn al behoorlijk breed, maar zij hebben de mensen niet om dit goed te doen.” Het resultaat is dat ze kiezen voor eenvoudigere massale opsporingsmethodes om zo eerder tot resultaat te komen. Dat is niet de juiste manier van werken.
Heijdra en Verloy lijken er net iets anders in te staan dan bovenstaande twee experts. Zij lijken het verruimen van de mogelijkheden voor veiligheidsdiensten niet fundamenteel af te wijzen. Wel hameren ze er beiden op dat dit alleen kan als de kaders eromheen deugen. “Het is van belang dat overheden voortdurend het dreigingslandschap monitoren en hun regelgeving aanpassen op basis van veranderende omstandigheden. Dit stelt hen in staat om doeltreffend om te gaan met digitale dreigingen en om de balans tussen veiligheid en privacy op een meer effectieve manier af te wegen”, volgens Heijdra.
Verloy is wat explicieter in zijn woordkeuze op dit punt. “De noodzaak is er. Een externe raad die per case bepaalt wat wenselijk is, zou hier een geschikte aanpak zijn. Deze externe raad moet dan wel een fast-response werkwijze hebben, om te voorkomen dat er kostbare tijd verloren gaat bij kritieke zaken.” Ondanks dat hij er in principe niet tegen is om veiligheidsdiensten meer ruimte te geven, moet dat wel op een gedegen manier gebeuren. Uiteindelijk is ook de (retorische) vraag van Dorigo hier relevant: “Waar begint het ‘tegenhouden’ van cyberaanvallen?” Dat soort vragen zijn van doorslaggeven belang bij een kwestie zoals deze.
Conclusie
In dit artikel zijn we door enkele overkoepelende thema’s uit de partijprogramma’s van politieke partijen heengegaan. Niet zozeer om jullie op het laatste moment nog een stemwijzer extra te geven, maar meer om inzicht te geven in wat er zoal speelt op het gebied van cybersecurity bij de verschillende partijen. Ook al is dit een erg lang artikel, heel erg veel is het wat ons betreft eigenlijk nog niet. Er staan her en der wat vage teksten in de programma’s, maar heel concreet is het vaak niet. Het oprichten van een Ministerie van Digitale Zaken is een van de weinige concrete zaken die we hebben kunnen ontdekken. Misschien moeten we daar eerst maar eens mee beginnen en dan de overige thema’s oppakken.
Voor wie na het lezen van dit lange artikel nog adem overheeft, hebben we nog een uitsmijter. Of eigenlijk meerdere uitsmijters. We hebben namelijk ook artikelen over de algemene digitaliseringsplannen van de politieke partijen geschreven. Daarbij hebben we de bovenste zes partijen in de peilingen genomen. Hieronder vind je de links naar die artikelen:
BBB: Verkiezingen 2023: BBB pleit voor “proactieve rol” van overheid bij digitalisering
D66: Verkiezingen 2023: D66 stimuleert start-ups en beteugelt Big Tech
GL-PvdA: Verkiezingen 2023: GroenLinks-PvdA wil digitale inclusie, toezicht op tech – Techzine.nl
NSC: Verkiezingen 2023: NSC wil “geen surveillancestaat”, betere security
PVV: Verkiezingen 2023: digitale plannen ontbreken in PVV’s ‘Nederlanders weer op 1’
VVD: Verkiezingen 2023: VVD mikt op nationale cloud, digitale zorg
19 uur geleden
