...

Schriftelijke vraag en antwoord nr : 0040 - Zittingsperiode : 54


Auteur Roel Deseyn, CD&V
Departement Vice-eersteminister en minister van Ontwikkelingssamenwerking, Digitale Agenda, Telecommunicatie en Post
Sub-departement Ontwikkelingssamenwerking, Digitale Agenda, Telecommunicatie en Post
Titel Meldplicht van veiligheidsincidenten.
Datum indiening12/01/2015
Taal N
Status vraagAntwoorden ontvangen
Termijndatum13/02/2015

 
Vraag

De wet van 13 juni 2005 betreffende elektronische communicatie voorziet sinds de omzetting van de richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, in een meldplicht van veiligheidsincidenten. De telecomwet maakt een onderscheid tussen veiligheidsincidenten en datalekken. In geval van bijzonder risico op de beveiliging of inbraak en in geval van datalek dient een andere instantie gecontacteerd te worden. Op Europees niveau wordt een richtlijn voorbereid houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen. 1. a) Wanneer dient een operator respectievelijk een risico op de beveiliging, inbraak en datalek te melden? b) Wat zijn de criteria en richtsnoeren ter zake? 2. Wat wordt verstaan onder een bijzonder risico op de beveiliging? 3. a) Hoe verloopt concreet de procedure in geval van bijzonder risico op de beveiliging, inbraak of datalek ? b) Op welke wijze worden deze procedures op elkaar afgestemd? 4. Wat zijn de mogelijkheden om te komen tot een uniek loket en tot verregaande samenwerking tussen de betrokken instanties? 5. a) Hoeveel incidenten, respectievelijk een risico op de beveiliging, inbraak en datalek, werden gemeld in 2012, 2013 en 2014? b) In welke gevallen werden de betrokken particulieren of ondernemingen verwittigd? c) Om hoeveel gedupeerden ging het? 6. Voldoet de telecomwet op vandaag volledig aan aan de richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren? 7. a) Wat is de stand van zaken en verwachte timing van de NIS-richtlijn? b) Welk standpunt neemt België ter zake in op Europese fora? 8. a) Voldoet de Belgische wetgeving op vandaag reeds aan deze nieuwe richtlijn? b) Wat is de verwachte impact van dit nieuwe kader op de Belgische wetgeving?


 
Status 1 réponse normale - normaal antwoord - Gepubliceerd antwoord
Publicatie antwoord     B011
Publicatiedatum 09/02/2015, 20142015
Antwoord

1. a) Artikel 114/1, § 2, van de wet van 13 juni 2005 betreffende de elektronische communicatie (hierna de WEC) bepaalt "de operatoren stellen het Instituut onverwijld in kennis van elke inbreuk op de veiligheid of elk verlies van integriteit die een belangrijke impact heeft op de exploitatie van netwerken of diensten. Na voorafgaande machtiging van de minister, preciseert het Instituut in welke hypothetische gevallen de inbreuk op de veiligheid of het verlies van integriteit een belangrijke impact heeft in de zin van dit lid". Ingeval van een datalek is § 3 van artikel 114/1 van toepassing te weten: "In geval van inbreuk in verband met persoonsgegevens stelt de onderneming die openbare elektronische-communicatiediensten aanbiedt de Commissie voor de bescherming van de persoonlijke levenssfeer onverwijld in kennis van de inbreuk in verband met persoonsgegevens, die op haar beurt het Instituut hierover onverwijld inlicht." Ingeval van een bijzonder risico voor de veiligheid is § 1, van artikel 114/1 van toepassing te weten: "Indien een bijzonder risico bestaat van inbreuken op de beveiliging van het netwerk, stellen de ondernemingen die een openbare elektronische-communicatiedienst aanbieden de abonnees en het Instituut in kennis van dat risico ..." b) Ter uitvoering § 2, van artikel 114/1, heeft het BIPT (Belgisch Instituut voor postdiensten en telecommunicatie) op 1 april 2014 een besluit aangenomen waarin het vermeldt in welke hypothesen operatoren een veiligheidsincident moeten melden, samen met de vorm en procedure van deze kennisgeving. In de praktijk komt het erop neer dat veiligheidsincidenten enkel moeten worden gemeld als ze bepaalde drempels overschrijden. Deze drempels zijn een vertaling van de impact en worden bepaald in functie van het percentage getroffen gebruikers en de tijdsduur. In tegenstelling met veiligheidsincidenten moeten alle datalekken en alle bijzondere risico's voor de veiligheid worden gemeld. 2. Het concept "bijzonder risico" op veiligheidsincident is de omzetting in Belgisch recht van artikel 4.2, van richtlijn 2002/58/EG (de "richtlijn betreffende privacy en elektronische communicatie"). De notie "bijzonder risico" is niet verder gedefinieerd in Belgische wetgeving. Operatoren dienen dit geval per geval te evalueren in functie van de situatie. Een voorbeeld van een geval dat dient te worden genotificeerd zou kunnen zijn dat een bepaalde operator op de hoogte is van een bepaalde zwakheid in de software van gsm-basisstations waardoor sommige van deze zouden kunnen gehacked worden zodat gesprekken kunnen worden afgeluisterd. 3. a) De gevallen bijzonder risico en inbreuken op de veiligheid moeten worden genotificeerd aan het BIPT. Datalekken moeten worden genotificeerd aan de Commissie voor de bescherming van de Persoonlijke Levenssfeer (CBPL) die verplicht is om onmiddellijk de notificatie over te maken aan het BIPT. b) Het BIPT en de CBPL consulteren elkaar om een minimum aan uniformiteit te verzekeren voor de concrete notificatiemodaliteiten voor de verschillende gevallen zoals voorzien in de wetgeving (bijvoorbeeld voor de verschillende websites via dewelke de notificaties worden uitgevoerd. 4. In de praktijk wordt reeds samengewerkt tussen CBPL en het BIPT. Elektronische formulieren die worden gepubliceerd op de websites van deze organisaties om aan de meldingsplicht te voldoen zijn beschikbaar. Betreffende de notificatie inbreuk op persoonlijke gegevens, de CBPL heeft momenteel een uniek loket, onafhankelijk van de betreffende sector. 5. a) Er werden geen meldingen gemaakt voor wat betreft bijzonder risico op vlak van veiligheid. Het systeem van meldingen van veiligheidsincidenten is op 1 april 2014 in voege getreden. Voor 2014 werden in het totaal 5 meldingen gemaakt. Echter deze waren allemaal vrijwillig omdat ze de drempelwaarden zoals voorzien in het besluit (zie 1. b) van het BIPT niet overschrijden. b) en c) In geen enkel geval was het nodig om gebruikers te verwittigen. 6. Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren wordt omgezet door de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren in Belgisch recht. In tegenstelling met de richtlijn slaat de wet eveneens op de sector elektronische communicatie. Het koninklijk besluit van 27 mei 2014 voert deze wet uit voor de sector elektronische communicatie. 7. a) De onderhandelingen tussen de Raad, Commissie en Europees Parlement inzake de NIS-richtlijn wordt verdergezet onder Voorzitterschap van Letland. Er is vooral een meningsverschil met betrekking tot welke type spelers (bijvoorbeeld "internet enablers") al dan vallen onder deze richtlijn. b) Artikel 1.3, alsook de bijbehorende consideransen van de NIS-ontwerprichtlijn vrijwaren de elektronische-communicatieoperatoren van de verplichtingen die de richtlijn oplegt. 8. a) Nee. b) Deze richtlijn zal moeten worden omgezet in Belgisch recht.

 
Eurovoc-hoofddescriptorPOST EN TELECOMMUNICATIE
Eurovoc-descriptorenPOST EN TELECOMMUNICATIE | EERBIEDIGING VAN HET PRIVE-LEVEN | BESCHERMING VAN DE CONSUMENT | EG-RICHTLIJN | TELECOMMUNICATIE | BEVEILIGING EN BEWAKING