De Autoriteit Persoonsgegevens (AP) en de Cyber Security Raad (CSR) willen dat datalekken die bij de AP gemeld zijn, onderzocht worden. Dit, zodat organisaties zich beter kunnen weren tegen digitale ontwrichting. De partijen geven aan dat er 177.000 euro nodig is om het onderzoek uit te voeren.
Dit meldt de CSR in een brief aan Minister Grapperhaus van Justitie en Veiligheid. In de brief geeft de raad aan dat het advies om datalekmeldingen beschikbaar te stellen voor onderzoek aansluit op het in september 2019 gepubliceerde rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) met als titel ‘Voorbereiden op digitale ontwrichting’.
Het advies hangt ook samen met een onderzoek dat in opdracht van de raad is uitgevoerd. De studie is in opdracht van de raad uitgevoerd door de Erasmus Universiteit en de Technische Universiteit Delft. ‘Informatie over datalekken vormt een belangrijke bron voor inzicht in de daadwerkelijke effecten van veiligheidsmaatregelen (of het ontbreken daarvan). Beter onderzoek naar de effecten ervan zorgt ervoor dat organisaties beter weten in welke veiligheidsmaatregelen ze moeten investeren’, aldus de rapporteurs. Cyberverzekeringen zullen hierdoor volgens de raad mogelijk meer ingang vinden, waardoor verzekeraars het basisniveau qua veiligheidsmaatregelen kunnen verhogen als onderdeel van de polisvoorwaarden.
Concreet onderzoeksproject
De raad wil zoals gezegd een project starten om de meerwaarde te toetsen van het beschikbaar stellen van het bestand met datalekmeldingen aan onderzoekers. Het doel van het project is om vast te stellen welke inzichten rondom privacy en beveiliging van persoonsgegevens kunnen worden afgeleid uit de meldingsdata en/of (en zo ja, onder welke voorwaarden) dit soort analyses structureel kunnen worden uitgevoerd na de projectfase. De kosten voor het project worden geschat op zo’n 177.000 euro. Looptijd van het project zou zo’n anderhalf jaar zijn. Het project vindt plaats onder verantwoordelijkheid van de AP.
Onderzoekers van wetenschappelijke instituten kunnen een projectvoorstel voor onderzoek indienen waarbij ze gebruik kunnen maken van de datalekgegevens, maar eventueel ook van andere gegevens die bij het CBS beschikbaar zijn voor extern onderzoek. De onderzoekers moeten afkomstig zijn van instituten conform de voorwaarden van het CBS. De voorwaarden zijn hier te vinden.