‘We hebben een soevereiniteitswet nodig’
Vorige week besloot het kabinet dat Solvinity niet verkocht mocht worden aan het Amerikaanse Kyndril. Het zou een bedreiging vormen voor het publiek belang. Niet duidelijk is welke redenering hieronder precies ligt. Volgens ICT-jurist Arnoud Engelfriet is de Wet ongewenste zeggenschap telecommunicatie (WOZT) niet bedoeld om op deze manier digitale soevereiniteit te organiseren. Er is volgens hem een aparte soevereiniteitswet nodig.
Het Bureau Toetsing Investeringen (BTI) concludeerde 'dat de beoogde overname van Solvinity mogelijk een risico vormt voor het publieke belang'. Hierop besloot het kabinet de overname te verbieden. Dit besluit is niet openbaar. Biedt de WOZT wel de juiste juridische basis om dit besluit te nemen? Volgens Engelfriet maken we het ‘ons ontzettend moeilijk door steeds dit soort net niet helemaal bedoelde regels een beetje op te rekken en op een bepaalde manier te lezen’, zegt hij in gesprek met BNR.
Soevereiniteitswet
Premier Jetten zei eerder in gesprek met BNR dat er grote risico's voor het Nederlandse belang zijn, waardoor het besluit over Solvinity snel genomen moest worden. 'In een ideale wereld doorloop je het hele proces, maar nu was het nodig om tijdig in te grijpen.' Later zou duidelijk gemaakt worden welke risico's precies aan het besluit ten grondslag liggen.
Dat er juridisch meer nodig is, bevestigde Jetten ook met een verwijzing naar de noodzaak van een aparte soevereiniteitswet. 'Een duidelijke regel die zegt: deze diensten mogen wel in buitenlandse handen, binnen Nederland, Europa of buiten Europa, en deze categorieën niet. Want die duidelijkheid heb je gewoon nodig.'
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Als een ding duidelijk is, is het dat de omstandigheden sneller wijzigen dan het wetgevingsproces aan kan. Daarnaast is voor de toepassing van het recht ook inrichting en implementatie vereist, gecombineerd met formeel juridisch beleid. Eerder bleek dat de overheid moeite had met vast te stellen wat onder het begrip "vitaal" zou moeten vallen. Dat is ook geen theoretische vraag, maar gaat over systeemwerking.
Het wetgevingstraject loopt, nu de toepassing vorm geven.
https://www.versterkenweerbaarheid.nl/thema/wet--en-regelgeving
Als je kijkt naar de DATA relaties tussen multinationals dan wordt duidelijk dat het nooit om één onderwerp zou moeten gaan (DigID in dit voorbeeld), maar om de combinatorische effecten met ANDERE (in dit geval Amerikaanse) providers. DigID geeft toegang tot .... en daarmee kun je .... met als gevolg dat je ... Datarelaties!
Het telt op en dat raakt uiteindelijk nationale veiligheid. Kind en badwater.
Een aparte soevereiniteitswet heeft dan ook alleen maar zin als we datacentrisch en context centrisch richten en niet applicatie- en contentcentrisch blijven denken en handelen. Bij de huidige governance en wetgeving interpretatie ligt de focus vaak nog altijd op individuele systemen en eigenaarschap, terwijl de échte risico's voortvloeien uit de relaties tussen data en de combinatorische effecten binnen een digitaal ecosysteem. Dit vereist een holistische aanpak waarbij dus die data-ecosystemen centraal staan, zoals data spaces (IDS-RAM, DIGAM) en real-time monitoring en NIET het applicatie contract. Data zijn te belangrijk om alleen aan juristen over te laten.
Het echte risico bij soevereiniteit ligt in toegang tot en controle over Nederlandse data, die via collaboratieve ecosystemen kan worden geanalyseerd en geëxploiteerd. Een overname, zoals die van Solvinity, zou bijvoorbeeld indirect toegang kunnen bieden tot gevoelige overheids- en bedrijfsdata. (hosting, functionaliteit, inzicht in verbanden en patronen). Dus in plaats van nieuwe wetten te introduceren, is het zowel goedkoper als pragmatischer om domweg organisatorische hygiëne toe te passen.
Implementeer die allang bewezen frameworks waarin data-relaties veilig en transparant worden beheerd, zoals via de Europese data spaces (vb iShare.eu). Voorkom die datalekken en ongeautoriseerde toegang door continue monitoring en handhaving met real time visualisatie van organisatie (en mandaat en budget) overschrijdende data relaties. Als iemand upstream de stekker eruit trekt dondert downstream de boel in mekaar. Alleen al enforcement van de aanstormende EU Data Act biedt al die solide basis voor collaboratieve real time data governance. Het ligt NIET aan de techniek.
Het gaat erom een dynamisch data ecosysteem te onderkennen, waarin impliciete en expliciete data-relaties worden beschermd zonder dat steeds nieuwe wetgeving nodig is. Engelfriet heeft een punt dat het ad hoc toepassen van wetten juridische onzekerheid schept en niet duurzaam is, maar als we dan toch een soevereiniteitswet bakken, baseer die dan op principes zoals de categorisatie van kritieke diensten en data, waarbij je de Normalized Systems Theory toepast (granulariteit, separation of concerns etc) en baseer haar op de beoordeling op basis van combinatorische risico’s (bijv. indirecte toegang tot meerdere datasets). Verplichte evaluatie van digitale infrastructuur in relatie tot nationale veiligheid en neem daar ook de aandelenstructuur en geldstromen in op. (dus niet stiekem je back-up alsnog in China hosten, omdat het zo lekker goedkoop is). Zonder holistische (en dus stovepipe mandaat en organisatie- overschrijdende) data-ecosysteemarchitectuur blijft Nederland kwetsbaar voor bedreigingen die voortvloeien uit complexe datarelaties. Een overname verbieden is een Whac-A-Mole symptoom; het is geen oplossing. Structurele governance richt zich op data-relaties en ecosystemen en de daarvoor benodigde juridische onderbouwing bestaat allang. (vb AVG en NIS2 aandacht voor de 'datavoortbrengingsketen').