Gemeenten nemen enorme risico's door niet op tijd afscheid te nemen van Windows XP. Zoals Computerworld al eerder deze week meldde, is het gros van de gemeenten nog niet overgestapt naar een ander besturingssysteem op 8 april. Veel zijn wel bezig met het plannen van migratietrajecten, maar dat zal later dit jaar pas gestalte krijgen, bij sommige gemeenten zelfs in 2015.
Gaten in gemeentelijke systemen?
Webwereld vroeg aan Matthijs van Bergen, jurist bij ICTRecht, hoe hij er tegen aan kijkt. Lopen onze persoonlijke gegevens nu geen gevaar, mochten gemeenten dadelijk met allerlei gaten zitten in hun systemen?
"Ook overheden zijn gebonden aan de Wbp, waarin onder andere de verplichting tot het implementeren van passende technische en organisatorische beveiligingsmaatregelen is opgenomen. Windows XP is 12 jaar oud, Windows 7 bestaat al 5 jaar en Windows 8 inmiddels ook al 2 jaar. Het NCSC heeft al een uitdrukkelijke waarschuwing cq factsheet uitgebracht waarin het oproept om te stoppen met het gebruik van XP om veiligheidsredenen. Het is in die omstandigheden wel heel moeilijk te verkopen dat lokale overheden nog zoveel op XP zitten."
"Als er hele bijzondere specifieke omstandigheden zijn en er speciale maatregelen zijn getroffen om misbruik of computerinbraak te voorkomen, zou het in sommige gevallen misschien nog te rechtvaardigen zijn. Maar in algemeenheid zou je goed kunnen zeggen dat je geen passende beveiliging levert als je systemen nog steeds op XP draaien. Ik verwacht bijvoorbeeld ook dat gemeenten die op XP zitten een DigiD-audit niet snel zullen overleven."
Hoe is dit juridisch geregeld?
Maar waar ligt nu de verantwoordelijkheid en hoe is dit juridisch geregeld? "Dat hangt van de producten en diensten van de leverancier en van de contracten af. Als je afspreekt dat een leverancier een applicatie voor Windows XP levert, voldoet die in principe aan het contract als die applicatie met XP werkt en met niets anders. Als je afspreekt dat de applicatie wordt onderhouden met updates en zo snel mogelijk compatible moet zijn met de meest recente versie van Windows, en je spreekt dit met al je applicatieleveranciers af, dan zullen compatibility-issues niet snel een reden zijn om bij een oude OS-versie te blijven hangen."
"Schijnbaar zit er overigens (nog) veel verschil in hoe gemeenten bij het inkopen van ICT te werk gaan. Door kennis en best-practices te bundelen en centraal te ontsluiten (bijvoorbeeld. via KING) zou gefaciliteerd kunnen worden dat gemeenten betere waarborgen bedingen bij leveranciers, om sneller en efficiënter te kunnen upgraden. Daarbij zouden exit-strategieën kunnen worden meegenomen om te proberen vendor lock-in te vermijden. Ook het gebruik van open source zou op die manier gestimuleerd kunnen worden."
Gemeente is verantwoordelijke
Zijn collega Mark Jansen van advocatenkantoor Dirkzwager wijst eveneens op de Wet bescherming persoonsgegevens. "Wanneer de overheid persoonsgegevens verwerkt in de hoedanigheid van "verantwoordelijke" (dus eigen beslissingen over die persoonsgegevens neemt), zij gehouden is die persoonsgegevens op passende wijze te beveiligen (artikel 13 Wbp)."
"Of het gebruik van niet onderhouden cq achterhaalde software als passend is aan te merken valt niet in algemene zin te zeggen. Dit zal denk ik afhangen van de mate waarin er fouten zitten in die software. Hoe meer fouten er in de software zitten en hoe groter de kans op misbruik van verwerkte persoonsgegevens, hoe eerder zal moeten worden aangenomen dat artikel 13 Wbp wordt geschonden."
Die verantwoordelijkheid geldt ook in het gebruik van DigiD. "De overheidsdienst die DigiD gebruikt zal vermoedelijk zijn aan te merken als "verantwoordelijke" in de zin van de Wbp en is uit dien hoofde verplicht passende beveiligingsmaatregelen te treffen voor het beveiligen van persoonsgegevens. Die overheidsdienst is daarmee dan ook extern tegenover de benadeelde burgers aansprakelijk. Hoe de aansprakelijkheid zich vervolgens intern verhoudt tussen overheid en leverancier van DigiD is een kwestie van wat er in de contracten tussen die partijen staat."
Geen opmerkingen:
Een reactie posten