Dat stelt de Cyber Security Raad (CSR) woensdag in een advies aan de regering. De Raad, een adviesorgaan met leden uit het bedrijfsleven, de overheid en de wetenschap, publiceert woensdag een ‘handreiking’ met richtlijnen voor bedrijven.
In de handreiking worden bedrijven opgeroepen tot het zorgvuldig behandelen van persoonsgegevens, het goed beveiligen van de eigen systemen en het voortdurend updaten van apparatuur die aan klanten wordt verkocht.
Verantwoordelijkheid
“Bedrijven nemen vaak gewoon geen verantwoordelijkheid”, zegt Lokke Moerel over de huidige situatie tegenover NU.nl. Moerel is hoogleraar ICT-recht aan Tilburg University en advocaat bij Morrison & Foerster, en was als lid van de CSR betrokken bij het opstellen van de handreiking.
Zij wijst erop dat bedrijven aansprakelijk kunnen worden gesteld voor defecten in producten, en dat daar ook softwarelekken onder kunnen vallen. “Als Volkswagen een sleutel heeft waarmee je de auto op afstand kunt openen en die kan gehackt worden, dan zijn productaansprakelijkheidsregels gewoon van toepassing”, zegt Moerel.
De overheid moet volgens haar vooral bedrijven uit verschillende sectoren bij elkaar brengen en aansporen tot zelfregulering. De Raad waarschuwt dat bedrijven zich erop moeten voorbereiden dat schade na datalekken steeds vaker op hen zal worden verhaald.
Dat is een goede ontwikkeling, stelt Moerel. “Als je het moet hebben van de Autoriteit Persoonsgegevens of de Autoriteit Consument en Markt dan redden we het niet.” Die organisaties hebben volgens haar te weinig capaciteit om de vele datalekken die tegenwoordig aan het licht komen te behandelen.”