Risico’s door gebrekkig inzicht in data-inkoop Data-inkoop bij externe partijen brengt risico’s met zich mee, zoals onvoldoende zicht over de herkomst, beveiliging en rechtmatigheid van de data. Wat betekent dit nu concreet voor bestuurders? it recent onderzoek van de Universiteit Utrecht blijkt dat overheden onvoldoende zicht hebben op de data die zij inkopen en hoe deze wordt ingezet. Dit gebrek aan transparantie brengt juridische en ethische risico’s met zich mee. Wie is verantwoordelijk als er iets mis is met de ingekochte data? En in hoeverre mag deze data worden gedeeld of hergebruikt? Thijs Pas is Information Security Consultant bij ICTRecht. Onder de NIS2-richtlijn kunnen bestuurders persoonlijk aansprakelijk worden gesteld als zij nalatig zijn in het naleven van de richtlijn. In het ergste geval kan dit leiden tot schorsing of ontslag uit hun functie. Dit betekent dat zij niet alleen beleid moeten opstellen, maar ook actief toezicht moeten houden op de implementatie en de naleving ervan. Bestuurders moeten bij de inkoop van data dus waarborgen dat leveranciers voldoen aan cybersecurity- en privacyregels die in lijn zijn met NIS2. Het ontbreken van mechanismen om data-leveranciers te controleren, kan als nalatigheid worden gezien. Dit geldt zeker als het gebruik van externe data resulteert in inbreuken op privacy of datalekken. Het inkopen van data bij externe partijen zonder volledige transparantie over herkomst en verwerking kan leiden tot risico’s zoals: • Gebruik van onrechtmatig verkregen data, wat kan leiden tot juridische complicaties. • Onduidelijkheid over eigendomsrechten, Met NIS2 wordt bestuurlijke aansprakelijkheid een realiteit onderhet mom van ‘practice what you preach’ U waardoor claims van dataverstrekkers kunnen ontstaan. • Beveiligingsrisico’s, zoals onvoldoende encryptie, problemen met het valideren van de integriteit en authenticiteit van de data of risico op data-exfiltratie. Volgens de NIS2 moeten bestuurders toezichthouden op dit soort risico’s. Dit omvat het maken van contractuele afspraken over beveiliging, audits en compliance met NIS2-verplichtingen. Een nalatige houding kan worden gezien als het niet nakomen van hun zorgplicht. Om risico’s met betrekking tot bestuurlijke aansprakelijkheid te beperken, is het van belang om: • Een inkoopbeleid op te stellen dat voldoet aan de NIS2. • Leveranciers te beoordelen op NIS2-conformiteit en dit waarborgen in contracten. • Incidentresponseprocedures in te richten voor het geval externe data een risico vormen. • Interne controles uitvoeren en documentatie bijhouden om naleving te kunnen aantonen bij toezicht Met NIS2 wordt bestuurlijke aansprakelijkheid een realiteit onder het mom van ‘practice what you preach’. Waar het voorheen volstond om informatiebeveiliging te delegeren binnen de organisatie, dragen bestuurders nu zelf de eindverantwoordelijkheid. Dit vereist actief toezicht en directe betrokkenheid. Overheden die data inkopen moeten hierop anticiperen door passende risicomitigatiemaatregelen te selecteren zoals, selectiecriteria voor leveranciers, contractuele afspraken en structureel toezicht. Dit vraagt om een proactieve houding bij data-inkoop en een samenwerking met de legal & compliance afdeling. iBestuur 54, april 2025 19
20 Online Touch Home