Valt u onder het toepassingsbereik van de (aanstaande) Cyberbeveiligingswet (Cbw)? Zo ja, dan is het belangrijk om na te gaan of het voor uw organisatie noodzakelijk is om bepaalde medewerkers te gaan screenen. In deze blog leest u meer over uw verplichtingen.
Op basis van het Cyberbeveiligingsbesluit (Cbb), dienen essentiële en belangrijke entiteiten maatregelen te nemen om de beveiligingsaspecten met betrekking tot personeel risicogericht en passend te beveiligen.[1] Meer concreet, dient een dergelijke entiteit betrouwbaarheidseisen op te stellen “waaraan haar personeel en andere binnen de entiteit werkzame personen moeten voldoen, voor zover deze passend en noodzakelijk zijn voor hun taakuitoefening met betrekking tot de beveiliging van de netwerk- en informatiesystemen van de entiteit.”[2] Het gaat hierbij “om personeel dat daadwerkelijk in verband met haar functie de beveiliging van de netwerk- en informatiesystemen kan beïnvloeden”.
Specifiek over screening staat in de Nota van Toelichting op het Cyberbeveiligingsbesluit (Cbb) het volgende:
“In artikel 14, derde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten indien dit blijkt uit de risicoanalyse, bedoeld in artikel 7 Cbb, betrouwbaarheidseisen moeten opstellen waaraan hun personeel en andere binnen of namens de entiteit werkzame personen moeten voldoen, voor zover deze passend en noodzakelijk zijn voor hun taakuitoefening met betrekking tot de beveiliging van de netwerk- en informatiesystemen van de entiteit. Voor bepaalde functionarissen kan dit betekenen dat er een screening plaatsvindt. Hierbij valt onder meer te denken aan functionarissen met hoge rechten in kritieke omgevingen van de netwerk- en informatiesystemen van de entiteit.”[3]
Kort gezegd, kan het op basis van de Cbw dus noodzakelijk zijn om bepaalde medewerkers te screenen. Het gaat dan vooral over medewerkers met verregaande rechten in de netwerk- en informatiesystemen. Of en welke mate van screening binnen uw organisatie gaat plaatsvinden en waarom, moet gedocumenteerd worden vastgelegd. Daarbij is het belangrijk om in acht te nemen dat via screening (gevoelige en bijzondere) persoonsgegevens kunnen worden verwerkt. Denk aan bijvoorbeeld financiële gegevens, strafrechtelijke gegevens en informatie over personen uit het privé leven van een medewerker. De privacy impact van screening kan dan ook groot zijn waardoor het uitvoeren van een voorafgaande DPIA meestal wettelijk verplicht is. Daarnaast moet de ondernemingsraad (OR), wanneer deze is aangesteld, om instemming worden gevraagd voordat met de screening wordt gestart. Al met al een project dat best wat tijd kan kosten en waarvan het dus raadzaam is om hier tijdig mee te beginnen!
Let op: de Cbw is nog niet in werking getreden en de wetteksten zijn nog niet definitief. Houd dus de ontwikkelingen op dit vlak in de gaten.
[1] Artikel 21(3)(i) Ontwerpbesluit Cyberbeveiligingsbesluit (Cbb).
[2] Artikel 14(3) Ontwerpbesluit Cbb.
[3] Artikel 14 Nota van Toelichting (concept) Cbb.
Heeft u hulp nodig bij het opstellen van een risicoanalyse, screeningsprotocol, DPIA of afstemming met de OR? Neem dan gerust vrijblijvend contact met ons op.
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!
