Organisaties investeren in techniek, trainen medewerkers en volgen netjes de vijf NCSC-principes voor digitale weerbaarheid. En toch schiet hun informatiebeveiliging juridisch tekort. Niet omdat de regels ontbreken, maar omdat een hele dimensie van het vakgebied structureel wordt genegeerd. ICT-jurist Victor de Pous fileert de aanname dat technisch en organisatorisch volstaat voor echte digitale weerbaarheid.
Er is een hardnekkig misverstand in de manier waarop Nederlandse organisaties informatiebeveiliging benaderen. Ze zien het vooral als een technisch vraagstuk, hooguit aangevuld met organisatorische maatregelen. Het recht komt pas in beeld als er iets misgaat: bij een datalek, een toezichthouder die aanklopt, of een rechtszaak. Dat is precies achterstevoren, stelt ICT-jurist Victor de Pous. Juridische normen zijn geen buitenste schil rondom een technische kern. Ze zijn een fundament dat ook vanaf het begin structureel moet worden ingebouwd. Zolang dat niet gebeurt, is elke organisatie die denkt zijn security op orde te hebben, juridisch kwetsbaar; óók als de vijf basisprincipes van het Nationaal Cyber Security Centrum netjes worden gevolgd.
Die vijf principes, die het NCSC en het Digital Trust Center in september 2024 gezamenlijk ontwikkelden, bieden een breed toepasbaar raamwerk voor digitale weerbaarheid. Ze beschrijven wat organisaties technisch en organisatorisch moeten doen: risico’s in kaart brengen, veilig gedrag bevorderen, systemen beschermen, toegang beheren en voorbereid zijn op incidenten. Nuttig en noodzakelijk. Maar de juridische dimensie blijft, op een enkele verwijzing naar de NIS2-richtlijn na, structureel onderbelicht. “De juridische component is inmiddels zo bepalend geworden voor de bestuurlijke sturing, zorgplichten, verantwoordelijkheid en aanspreekbaarheid, dat explicitering nodig is”, stelt De Pous. Hij pleit daarom voor de erkenning van recht als zesde basisprincipe van digitale weerbaarheid.
Juridische instrumenten als weerbaarheidsmechanisme
Wie in organisaties het woord ‘juridisch’ laat vallen in een gesprek over informatiebeveiliging, krijgt doorgaans dezelfde associaties terug: compliance. AVG, meldplichten, zorgplichten, toezicht. Die gelijkstelling zit diep, maar is onjuist. Het recht is niet alleen een verzameling verplichtingen om af te vinken. Het is ook een instrumentarium om preventief en actief in te zetten. “Het juridische domein wordt in veel organisaties defensief ingevuld: als iets wat je moet naleven in plaats van als iets wat je strategisch kunt inzetten om risico’s te beperken en weerbaarheid te vergroten”, aldus De Pous.
Dat heeft gevolgen voor wat organisaties doen en laten. De Europese richtlijn softwarebescherming geeft organisaties bijvoorbeeld het recht op herstel van softwarefouten en het recht op een reservekopie. Klinkt technisch, maar de praktische betekenis is groot: als bedrijfskritische software gebreken vertoont en een leverancier niet levert, kun je als organisatie foutherstel uitvoeren, zelfs door middel van decompilatie van de runcode. “Dergelijke mogelijkheden worden in de praktijk vaak gemist, terwijl ze kunnen helpen om leveranciersafhankelijkheid te verkleinen en continuïteit beter te organiseren”, zegt De Pous.
Hetzelfde geldt voor optionele juridische instrumenten als escrow-overeenkomsten, cyberverzekeringen, auditrechten en exit- en continuïteitsafspraken met leveranciers. Geen van deze is verplicht, en allemaal worden ze onderschat. De vraag of een organisatie bij uitval van een leverancier operationeel overeind blijft, wordt mede bepaald door of dit soort afspraken vooraf zijn gemaakt. “De focus ligt op dit moment standaard op compliance, op het naleven van wettelijke verplichtingen, en niet op het gericht inzetten van het aanvullende juridisch instrumentarium”, stelt De Pous. Wie dat pas ontdekt als een leverancier wegvalt, komt daar op het slechtst denkbare moment achter.
Goede afspraken maak je vóóraf
Dat juridische instrumenten worden onderschat, komt ook doordat ze verkeerd worden gelabeld. Contractuele beveiligingsafspraken belanden in veel organisaties in de categorie ‘organisatorische maatregel’: procesafspraak, operationele afstemming, iets voor de map die toch niemand openslaat. Maar een contract dat vastlegt wie waarvoor verantwoordelijk is, welke beveiligingsmaatregelen verplicht zijn en wie wat mag controleren, is geen procesafspraak. “Het gaat om bindende normstelling”, stelt De Pous. “Een juridisch sturingsinstrument is nadrukkelijk geen administratief bijproduct.”
De AVG maakt dit concreet. Bij uitbesteding verlangt de wet een verwerkersovereenkomst die vooraf regelt welke beveiligingsmaatregelen de verwerker treft, hoe daarop toezicht wordt gehouden en wat de opdrachtgever moet kunnen controleren. Wie die overeenkomst behandelt als papieren formaliteit, haalt er precies de functie uit die hem waardevol maakt: sturing vooraf in plaats van ruzie achteraf. “Een juridisch principe dat vooraf is verankerd, dwingt organisaties om vooraf al scherp te zijn op rolverdeling, beveiligingseisen, toezicht en aanspreekbaarheid”, legt De Pous uit.
Naast de verwerkersovereenkomst, die de AVG verplicht stelt, onderscheidt De Pous een tweede contractcategorie: de supply-chain agreement. Waar de verwerkersovereenkomst de relatie tussen verwerkingsverantwoordelijke en verwerker regelt, richt de supply-chain agreement zich op de bredere toeleveringsketen. De NIS2-richtlijn verplicht organisaties expliciet om de beveiliging van die keten te waarborgen en de effectiviteit van maatregelen periodiek te beoordelen. In de praktijk vertaalt zich dat naar beveiligingsclausules en service level agreements in inkoop- en dienstverleningscontracten, aangevuld met auditverplichtingen en rapportage-eisen. De AVG verplicht de eerste contractvorm, de tweede is facultatief maar minstens zo belangrijk. Beide zijn cruciale juridische instrumenten, geen organisatorische bijzaak.
Wie contractuele borging verwaarloost, staat ook zwak als het misgaat. Toezichthouders kijken niet alleen naar technische maatregelen, maar ook naar hoe verwerkers zijn geselecteerd, hoe afspraken zijn gedocumenteerd en of er auditmogelijkheden zijn. Onder de AVG is de verwerkingsverantwoordelijke aansprakelijk voor schade als de verwerking niet aan de wet voldoet. Hoe goed de technische maatregelen ook zijn: een juridische onvoldoende compenseer je daar niet mee.
Strategische driehoek
De Pous adviseert niet alleen voor recht als het zesde basisprincipe toe te passen, maar ziet ook graag een andere manier van organiseren. Want wie bewaakt dat juridische kennis structureel wordt meegenomen in beveiligingsbeslissingen? In de meeste organisaties is dat antwoord stilzwijgend: de CISO. En dat is een te zware last voor één functie, aldus De Pous. De ICT-jurist pleit dan ook bij grotere organisaties voor wat hij de Strategische Driehoek Informatiebeveiliging noemt: een vaste samenwerking tussen CISO, organisatiekundige en jurist, structureel ingebed in de bestuurlijke cyclus.
De redenering snijdt dwars door de manier waarop de meeste organisaties hun beveiligingsfunctie hebben ingericht. “Technisch kan iets kloppen, maar organisatorisch niet landen of juridisch onvoldoende zijn geborgd”, legt De Pous uit. “Niet de CISO-functie is te klein, maar de opgave is te breed om zonder structurele samenwerking goed te worden ingevuld.” Van een CISO kun je niet verwachten dat die naast de technische en organisatorische opgave ook zelfstandig het volledige juridische instrumentarium overziet en inzet. Bij kleinere organisaties vraagt dit om een externe CISO met een hoog multidisciplinair werk- en denkniveau. Bij grotere organisaties om die vaste driehoek, expliciet onder bestuurlijke verantwoordelijkheid.
De driehoek is geen projectteam voor crises, betoogt De Pous. Het hoort thuis bij het jaarplan, bij risicobeoordelingen, bij uitbestedingsbeslissingen en bij de verantwoording richting het bestuur. “Juist omdat informatiebeveiliging een continu proces is, moet ook de juridische afstemming continu onderdeel zijn van de bestuurlijke cyclus”, aldus de ICT-jurist. Wat vandaag als passend geldt, kan morgen ontoereikend zijn. De AVG en NIS2 benadrukken beide dat beveiligingsmaatregelen voortdurend moeten worden afgestemd op actuele ontwikkelingen. Dat vraagt om een permanente structuur, niet om een jaarlijkse check. Het bestuur is daarin eindverantwoordelijk en met de Cyberbeveiligingswet in aantocht wordt die verantwoordelijkheid juridisch afdwingbaar.
Bestuurlijke verantwoordelijkheid
De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, nu verwacht in het derde kwartaal van 2026, maakt dat concreet. De wet maakt bestuurders persoonlijk aansprakelijk: zij moeten cyberbeveiligingsmaatregelen goedkeuren, toezicht houden op de uitvoering en aantoonbaar over voldoende kennis beschikken. Onwetendheid is geen verweer meer. “‘Ik begreep de juridische dimensie niet’ is straks geen sterk verweer”, stelt De Pous. “Techniek en organisatie moesten bestuurders ook leren begrijpen; voor het juridische fundament geldt hetzelfde. Wie dat structureel niet organiseert, loopt het risico dat nalatigheid niet meer wordt gezien als onwetendheid, maar als bestuurlijk tekortschieten.”
Of het NCSC het zesde principe daadwerkelijk overneemt, is onzeker. De Pous is er zelf ambivalent over. “Enerzijds vind ik dat het NCSC dit in zekere zin zelf had kunnen en misschien ook moeten onderkennen. Er werken daar immers veel deskundige mensen, en de gedachte dat informatiebeveiliging niet alleen technisch en organisatorisch maar ook juridisch moet worden benaderd, is geen exotisch inzicht.” Of het NCSC volgt of niet, verandert niets aan de juridische realiteit. De vraag is of organisaties dat doorhebben voordat de toezichthouder of de rechter hen eraan herinnert.