Door gebrekkige wetgeving en de wens om cyberonveiligheid totaal uit te bannen, kost cybersecurity de overheid veel meer dan nodig. Dat stelt rechtseconoom mr. dr. ir. Bernold Nieuwesteeg in zijn promotieonderzoek voor de Erasmus Universiteit Rotterdam.
‘Intelligente juridische cybersecuritystrategie nodig’
Nieuwesteeg verdedigde zijn onderzoek ‘De rechtseconomie van cybersecurity’ maandag. Hij geeft daarin oplossingsrichtingen voor slimmer investeren in cybersecurity voor overheid, bedrijfsleven en wetenschap. Nieuwesteeg onderzocht nieuwe juridische instrumenten waaronder de mogelijkheid om tegen cyberrisico’s te verzekeren, risicodelen door middel van riskpooling en de meldplicht datalekken in de Algemene Verordening Gegevensbescherming (AGV). De overheid heeft volgens hem een intelligente juridische cybersecuritystrategie nodig en kan deze vormgeven met regelgeving en contracten. Wanneer dit niet gebeurt, dan dreigt het scenario dat de overheid in haar wens om aan alle eisen te voldoen, ‘gegijzeld’ wordt door het bedrijfsleven.
‘Uitgaven moeten efficiënter’
Aan Binnenlands Bestuur laat Nieuwesteeg weten dat de overheid veel geld kwijt is aan cybersecurity. De uitgaven hieraan kunnen wat hem betreft efficiënter worden ingericht. ‘Is het niet beter om, in plaats van te streven naar een zo veilig mogelijke overheid, te streven naar een veilige overheid en daarbij zo te investeren dat het ook doelmatig is?’, vraagt Nieuwesteeg zich af. Een ander probleem betreft de huidige wetgeving. Bestaande wetten zijn volgens hem niet goed verbonden met de economie van cybersecurity. ‘De samenleving heeft in de eerste plaats een publiek debat nodig over hoeveel sloten we op onze spreekwoordelijke digitale deuren willen. We moeten niet tegen elke prijs alle hacks willen voorkomen.’
Nog veel winst te behalen
Er zijn ook goede juridische oplossingen voor het verbeteren van cybersecurity, zoals de net van kracht geworden AVG. Deze staat wat de uitvoering betreft nog in de kinderschoenen. Er is met AVG nog veel winst te behalen, stelt Nieuwesteeg. ‘Het is bekend dat lokale overheden hier nog niet echt klaar voor zijn. Zoiets kost de organisaties veel tijd en geld. Een echt goede uitvoering van de wet lijkt daardoor nog even te duren.’ Ook lokale overheden zijn volgens Nieuwesteeg gebaat bij een slimme strategie voor cybersecurity op juridisch vlak. Gemeenten, provincies en waterschappen moeten zich immers doorgaans houden aan wetgeving die door de centrale overheid wordt ontwikkeld.
Nieuwesteeg geeft sinds 1 juni leiding aan CLECS, het Center for the Law and Economics of Cyber Security, aan diezelfde universiteit. Met die organisatie gaat hij onder meer onderzoek doen naar wetgeving voor cybersecurity.