Het kan zijn dat je als IT-reseller onder het toepassingsbereik van de (aanstaande) Cyberbeveiligingswet (Cbw) valt. Zo ja, dan is het belangrijk om na te gaan of het voor je organisatie noodzakelijk is om bepaalde medewerkers te screenen. Michelle Wijnant, advocaat bij De Clercq Advocaten en gespecialiseerd in IT-recht, privacy en cybersecurity, schreef er deze blog over.
Wat staat er in de wettekst over screening?
Op basis van het Cyberbeveiligingsbesluit (Cbb), dienen essentiële en belangrijke entiteiten maatregelen te nemen om de beveiligingsaspecten met betrekking tot personeel risicogericht en passend te beveiligen. [1] Meer concreet, dient een dergelijke entiteit betrouwbaarheidseisen op te stellen “waaraan haar personeel en andere binnen de entiteit werkzame personen moeten voldoen, voor zover deze passend en noodzakelijk zijn voor hun taakuitoefening met betrekking tot de beveiliging van de netwerk- en informatiesystemen van de entiteit.” [2] Het gaat hierbij “om personeel dat daadwerkelijk in verband met haar functie de beveiliging van de netwerk- en informatiesystemen kan beïnvloeden”.
Specifiek over screening staat in de Nota van Toelichting op het Cyberbeveiligingsbesluit (Cbb) het volgende:
“In artikel 14, derde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten indien dit blijkt uit de risicoanalyse, bedoeld in artikel 7 Cbb, betrouwbaarheidseisen moeten opstellen waaraan hun personeel en andere binnen of namens de entiteit werkzame personen moeten voldoen, voor zover deze passend en noodzakelijk zijn voor hun taakuitoefening met betrekking tot de beveiliging van de netwerk- en informatiesystemen van de entiteit. Voor bepaalde functionarissen kan dit betekenen dat er een screening plaatsvindt. Hierbij valt onder meer te denken aan functionarissen met hoge rechten in kritieke omgevingen van de netwerk- en informatiesystemen van de entiteit.” [3]
Wat betekent dit nu?
Kort gezegd, kan het op basis van de Cbw dus noodzakelijk zijn om bepaalde medewerkers te screenen. Het gaat dan vooral over medewerkers met verregaande rechten in de netwerk- en informatiesystemen. Of en welke mate van screening binnen uw organisatie gaat plaatsvinden en waarom, moet gedocumenteerd worden vastgelegd. Daarbij is het belangrijk om in acht te nemen dat via screening (gevoelige en bijzondere) persoonsgegevens kunnen worden verwerkt. Denk aan bijvoorbeeld financiële gegevens, strafrechtelijke gegevens en informatie over personen uit het privé leven van een medewerker. De privacy impact van screening kan dan ook groot zijn waardoor het uitvoeren van een voorafgaande DPIA meestal wettelijk verplicht is. Daarnaast moet de ondernemingsraad (OR), wanneer deze is aangesteld, om instemming worden gevraagd voordat met de screening wordt gestart. Al met al een project dat best wat tijd kan kosten en waarvan het dus raadzaam is om hier tijdig mee te beginnen!
Screenen voor IT-resellers?
Dit kan ook betrekking hebben op IT-business partners die cybersecurity-oplossingen verkopen aan hun klanten. Immers vallen ‘beheerders van ICT-diensten’ onder het toepassingsbereik van de Cyberbeveiligingswet. Daarnaast kunnen bevoegde autoriteiten organisaties aanwijzen die niet standaard onder de wet vallen, maar waarvan uitval grote gevolgen kan hebben (bijvoorbeeld specifieke ICT-dienstverleners of toeleveranciers van vitale sectoren).
Daarnaast moeten ICT-dienstverleners die toeleveren aan of samenwerken met entiteiten die onder de Cbw vallen, aantonen dat zij passende beveiligingsmaatregelen treffen. Dit betekent dat ook ketenpartners en leveranciers indirect onder de werking van de wet vallen, zelfs als zij niet formeel als entiteit zijn aangewezen.
Kortom, het is dus ook belangrijk voor IT-resellers om in kaart te brengen of er medewerkers zijn die de beveiliging van netwerk- en informatiesystemen kunnen beïnvloeden en zo ja, om te besluiten of het nodig is om hen (zwaarder) te gaan screenen.
Let op: de Cbw is nog niet in werking getreden en de wetteksten zijn nog niet definitief. Houd dus de ontwikkelingen op dit vlak in de gaten.
[1] Artikel 21(3)(i) Ontwerpbesluit Cyberbeveiligingsbesluit (Cbb).
[2] Artikel 14(3) Ontwerpbesluit Cbb.
[3] Artikel 14 Nota van Toelichting (concept) Cbb.
Meer informatie
Wil je meer over dit onderwerp weten of zoek je op andere IT-vlakken juridische ondersteuning, ga dan naar de website van De Clercq Advocaten.