De Rijksinspectie Digitale Infrastructuur heeft vandaag haar Jaarplan 2023 gepubliceerd. 'Ons doel is dat Nederland kan vertrouwen op de beschikbaarheid van de digitale infrastructuur, die continu en veilig te gebruiken is.' De RDI zet daarbij in op multidisciplinaire samenwerking met andere toezichthouders en beleidsdepartementen.
Angeline van Dijk is Inspecteur-generaal Rijksinspectie Digitale Infrastructuur. | Beeld: De Beeldredaktie
Van sectoraal naar horizontale toezichthouder
Nieuwe Europese wetgeving, zoals de Cybersecurity Act (CSA) en de Cyber Resilience Act (CRA), hebben effect op meerdere beleidssectoren, stelt de RDI in haar jaarplan 2023. Ook kaders voor netwerken en energie, zoals de richtlijn Network and Information Security 2 (NIS2), hebben door de centrale positie in de samenleving overlap in de digitale eisen voor de markt. De nieuwe rijksinspectie (voorheen Agentschap Telecom) wil zich ontwikkelen van een sectorale naar een meer horizontale en generieke toezichthouder in het digitale ecosysteem. De RDI gaat de komende jaren het totaalpakket aan nieuwe regelgeving voor de digitale infrastructuur in kaart brengen en verkennen wat deze horizontale positie van de toezichthouder precies gaat inhouden.
Digitale regulering vanuit Europa
Als toezichthouder en uitvoerder krijgt de RDI de komende jaren te maken met de impact van een groeiend aantal nieuwe wet- en regelgeving.
De Europese implementatie van de NIS2-, eIDAS2, CER– en CSA-regelgeving, alsmede de duiding van de contextafhankelijkheid met de CRA en AI-Act is voor de RDI een van de hoogste prioriteiten in 20231. Dit geldt eveneens voor de nationale implementatie van bijbehorende regelgeving. Om dit goed te kunnen coördineren is structurele samenwerking tussen nationale en internationale toezichthouders vereist. De RDI zet in 2023 in op het uitbreiden en bestendigen van deze samenwerking.
AI-ontwikkelingen in de gaten houden
AI heeft alle geledingen van de maatschappij zijn intrede gedaan. Het is de technologie van de toekomst, maar stuurt ook nu al veel producten, productieprocessen en diensten aan. Het toezicht op het gebruik van algoritmen bevindt zich echter nog in een opstartfase. Onder leiding van de RDI werken toezichthouders en marktpartijen in ons land daarom samen op gebied van kennisontwikkeling en het ontwikkelen van standaarden. Daarnaast is de RDI namens Nederland voorzitter van de Europese werkgroep van toezichthouders op AI.
1
6 NIS2: Network and Information Security 2 (Richtlijn)
eIDAS2: Electronic Identities And Trust Services 2 (Verordening)
CER: Critical Entities Resilience (Richtlijn)
CSA: Cybersecurity Act (Verordening)
CRA: Cyber Resilience Act (Verordening)
AI-Act: Artificial Intelligence Act (Verordening)
Dit vereist alleen wel gerichte migratie van een People Based Processes Systeem naar een Straight Through Processes Systeem. Van op mensen gebaseerde verwerking (PBP), waarbij gegevens BINNEN organisaties gebruikt worden, naar rechtstreekse verwerking (STP) van gegevens TUSSEN organisaties. Van documentroutering die nog is gebaseerd op (impliciete) workflow, waarbij medewerkers afhankelijk zijn van (deeltijd werkende) derden, met allemaal hun eigen standaardprocedures en casusscenario’s, met een ongelijk tempo van acties (en allemaal 6 weken verwerkingstijd) naar Segmentatie van Taken (SoD), AutoID met automatische classificatie van informatie en risico, naar multivariate correlatie (actor, informatie, actie), naar automatische synthese van beleid, naar informatie gecontroleerd werken, met feit gebaseerde prestaties onder voorgedefinieerde bedrijfsvoering op standaard procedures met real time context controle, dankzij verregaande kennismodellering met domeinspecifieke afspraken.
Kan allemaal prima en snel dankzij Robotic Process Modelling, Linked Data, Semantic HTML, Cloud Policies voor Data Spaces etc., maar dan moet er wel helder beleid worden gevoerd om al DIE nu nog versnipperde inspanningen bij elkaar te brengen. Prachtig Jaarplan, maar ook de aftrap voor een totale System Overhaul, anders krijg je dit allemaal nooit voor elkaar. Zonder bewuste Data Governance krijg je nooit de vereiste Systeem transparantie, die nodig is om aan de overlappende (en volkomen terechte) wet- en regelgeving te kunnen voldoen.