Menu
JPR Advocaten

Bescherming met een Responsible disclosure beleid

Geschreven op 11 februari 2016  •  Auteur: Pascal Hulsegge
Bescherming met een Responsible disclosure beleid

Inleiding

Responsible Disclosure is het stimuleren van het op verantwoorde wijze melden van vermoedelijke beveiligingsproblemen en kwetsbaarheden in ICT-systemen. Veel organisaties, waaronder de rijksoverheid en banken, maken gebruik van een Responsible Disclosure beleid. Het beleid is een oproep aan iedereen die een zwakke plek ontdekt, dit direct en op een verantwoorde wijze te melden. Vervolgens kan de beheerder van het ICT-systeem maatregelen nemen om de zwakke plek te verhelpen en kan een organisatie een veiligere positie innemen in de ICT omgeving.

Full disclosure

In de ICT branche loopt men altijd gevaar op onthulling van kwetsbaarheden in de software. Men kan per ongeluk tegen een zwakke plek in een systeem aanlopen of er bewust naar op zoek gaan. Wanneer een dergelijke zwakke plek wordt geconstateerd, kan de vinder er voor kiezen de details over het beveiligingsincident volledig te publiceren. Dit noemt men “full disclosure”. Wanneer dit gebeurt kan het bedrijf waar het lek is geconstateerd zeer kwetsbaar worden voor cyberaanvallen. Daarom kan het hanteren van Responsible Disclosure beleid aan bedrijven worden aangeraden, omdat hierdoor door middel van samenwerking tussen de melder en de verantwoordelijke van het ICT-systeem het incident beter in kaart kan worden gebracht.

Responsible disclosure

Bij het toepassen van de Responsible Disclosure vindt een samenwerking plaats tussen de melder van het beveiligingsincident en de verantwoordelijke van het systeem in de zin van artikel 1 sub d van de Wbp. In bepaalde gevallen kan het zijn dat de melder van een lek een ethische hacker is. Een ethische hacker is een hacker die in beginsel goede bedoelingen heeft en beoogt de veiligheid van een bepaald ICT-systeem te verbeteren. Ondanks diens eventuele goede bedoelingen blijft het opzettelijk en wederrechtelijk binnendringen van een computersysteem strafbaar in de zin van artikel 138ab Wetboek van Strafrecht. In een Responsible Disclosure beleid kan een bedrijf aangifte tegen de melder van een lek uitsluiten, mits de melder van het lek zich aan de gestelde regels in het Responsible Disclosure beleid houdt. Hierbij moet wel opgemerkt worden dat middels het toepassen van Responsible Disclosure strafrechtelijke vervolging door het OM niet kan worden uitgesloten.

Cybersecurity

De Leidraad Responsible Disclosure bestaat sinds 2013 en heeft als doel het bieden van bouwstenen voor organisaties om een beleid voor Responsible Disclosure vast te stellen. De Leidraad draagt bij aan de cybersecurity in Nederland. Het toepassen van een Responsible Disclosure beleid is aantrekkelijk voor bedrijven, doordat organisaties op deze manier meer controle kunnen krijgen over de manier waarop een incident wordt gemeld. Daarnaast lopen mensen die een beveiligingslek constateren minder risico op strafrechtelijke vervolging zolang zij zich houden aan het Responsible disclosure beleid van het betreffende bedrijf bij het melden van het lek.

Mocht u geadviseerd willen worden in het opstellen van een Responsible Disclosure, dan kunt u altijd vrijblijvend contact opnemen met de vakgroep IE en ICT van JPR Advocaten.

Evelyn Kroese is medeauteur van dit artikel. Zij is werkzaam als student-stagiaire binnen de vestiging Deventer.


Pascal Hulsegge
Mr. P. Hulsegge

“Op jonge leeftijd wist ik al dat ik advocaat wilde worden. In de rechtszaal juridisch complexe zaken bepleiten, met ondernemers sparren over strategische stappen, een klant adviseren over herstructureringen of met de klant een onderhandelingstactiek uitdenken om het beste resultaat te behalen, allemaal zaken die ik als advocaat oppak en waar ik energie van krijg. Kort gezegd, zaken zo oplossen dat een klant tevreden is en zo efficiënt mogelijk een regeling of uitspraak bereiken; dat is mijn streven.

Vanuit mijn enthousiasme en passie voor het bedrijfsleven, ben ik sparringpartner van ondernemers en participeer ik in verschillende regiobesturen. Wat me motiveert is het verbinden van ondernemers, zodat er nieuwe samenwerkingen ontstaan in de regio en de economie bloeit. Met de opgedane kennis uit de regio, kan ik mijn klanten verder informeren en ondersteunen.

Op sociaal maatschappelijk vlak ben ik betrokken bij diverse projecten in Deventer. Mijn interesses Human Capital, MVO en meer vrouwelijke ondernemers in de regio aan de top, hebben allen een raakvlak met mensen. De advocatuur is prachtig, dat had ik goed ingeschat toen ik nog jong was. In mijn vak draait het vanuit een juridisch oogpunt om de mens en zijn het de mensen die mij inspireren.”

Contact opnemen met JPR

Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: