In een brief aan minister Ivo Opstelten vraagt branchevereniging Nederland ICT wat de beperkingen zijn van de ‘terughackwet’ die de minister van Veiligheid en Justitie aan de tweede Kamer wil voorleggen. De vereniging waarbij de grootste ICT-bedrijven van Nederland zijn aangesloten, maakt zich ongerust over de reikwijdte van het wetsvoorstel. Daarbij gaat het onder meer over de beperkingen in de definitie van een ‘geautomatiseerd werk’. Vallen daar ook horloges en energiemeters onder?

'Hacken schaadt vertrouwen in ICT'

Nederland ICT ziet ook de schade van internetcriminaliteit en juicht toe dat de minister maatregelen wil nemen. De pakkans is nu immers veel te klein, constateert de branchevereniging. Maar het huidige voorstel maakt Nederland ICT huiverig, met name voor de economische positie van Nederland. Immers, als justitie zo makkelijk mag binnendringen in andermans digitale eigendommen, kan dat het vertrouwen in ICT schaden. En dat kan het gebruik van ICT remmen. “De inzet van ICT draagt bij aan 60 procent van de economische groei in Nederland en 70 procent van alle innovaties zijn ICT-gerelateerd.”

Verder is Nederland ICT bang dat opsporingsambtenaren schade toebrengen bij het binnendringen van andermans eigendommen. Vooral door het achterlaten van backdoors kan aan het intellectuele eigendom van softwareleveranciers schade worden toegebracht, meent de branchevereniging. Ook zijn de ICT-bedrijven benieuwd wat opsporingsambtenaren doen als ze een kwetsbaarheid in een systeem vinden, vooral als dat een gat is in beveiligingstechnologie, software of firmware met bredere mogelijke gevolgen.

Wat te doen met de meldplicht?

In de brief schrijft Nederland ICT: “Dit roept de vraag op of opsporingsdiensten direct melding maken bij leveranciers van de gevonden kwetsbaarheid (eventueel geanonimiseerd door tussenkomst van het NCSC) wanneer bij het zoeken naar een manier om een geautomatiseerd werk binnen te dringen er een kwetsbaarheid is ontdekt in het systeem. Nederland ICT is daarbij ook benieuwd wat het kabinet verwacht hoe organisaties omgaan met de meldplicht voor cyber security incidenten of datalekken. Zal in het kader van security breach of data breach notification melding gemaakt moeten worden van het binnentreden door opsporingsdiensten?”

Ook is Nederland ICT bang voor navolging van andere landen, die zich dan vrij voelen op Nederlands grondgebied vrij aan het hacken te slaan. De branchevereniging vraagt dan ook aan Opstelten om te zorgen voor een internationaal wettelijk kader.