Onder leiding van BNR nieuwsradiojournalist Roelof Hemmen gingen Tweede Kamer-lid Kees Verhoeven en security-expert Brenno de Winter afgelopen week met elkaar in debat over de zin en onzin van het weren van technologiebedrijven door de overheid, bijvoorbeeld om spionage tegen te gaan.

Het veiligheidsdebat werd afgetrapt met een gesprek met Martijn van Lom, general manager Northern Europe van Kaspersky Lab, waarvan de overheid sinds vorig jaar de beveiligingssoftware niet meer wil gebruiken, omdat deze achterdeurtjes zou bevatten richting Russische inlichtingendiensten. Van Lom vertelde dat zijn bedrijf sinds 17 januari weer in gesprek is met de overheid. “Tot op de dag van vandaag is er geen enkel bewijs geleverd dat onze software voor cyberspionage ingezet zou worden. En dat gaat er ook niet komen. Met onze transparantie-initiatieven hebben we onderstreept dat Kaspersky Lab helemaal niets te verbergen heeft. Zo hebben we sinds november een Transparency Center in Zurich geopend waar klanten samen met onafhankelijke partijen inzage krijgen in softwarebroncodes en verhuizen we gebruikersgegevens van Rusland naar Zwitserland.”
Onderzoek
“Transparantie is voor ons belangrijker dan ooit, dat is wel de les die wij geleerd hebben. En ik durf te stellen dat we daarmee ook de toon zetten voor onze technologie-industrie. De overheid heeft nooit de moeite genomen om hoor- en wederhoor toe te passen”, aldus Van Lom. Op de vraag van Roelof Hemmen waarom Kaspersky Lab niet naar de rechter is gestapt, schetst Martijn het proces dat heeft plaatsgevonden na mei 2018. “Na intern beraad hebben we samen met KRO-NCRV een WOB-verzoek ingediend om inzage te krijgen in de argumentatie rondom de overheidsbeslissing. Daar heeft de overheid op gereageerd en op dit moment zijn verschillende hoorzittingen aan de gang. Verder hebben we Brenno de Winter gevraagd onderzoek te doen naar de overheidsargumentatie die aanleiding
gaf voor de beslissing.”

Ongegrond
De drie argumenten die de overheid heeft aangedragen werden in de analyse en reconstructie van Brenno de Winter ongegrond verklaard. Hij pleit voor heroverweging van de overheidsbeslissing.
Van Lom: “Het goede nieuws is dat we na deze initiatieven sinds 17 januari weer in gesprek zijn met de overheid. We hebben Patricia Zorko uitgenodigd voor een bezoek aan ons Transparency center in Zurich. Ze was verbaasd over het feit dat de overheidsmaatregel grote impact heeft op onze reputatie en omzetresultaten. Ik heb vertrouwen dat deze gesprekken rehabilitatie opleveren. Anders overwegen wij juridische stappen.”

Rusland en China
Brenno de Winter vindt dat de overheid bedrijven niet op basis van afkomst moet beoordelen. “Een verboden lijst kan niet beperkt blijven tot bedrijven uit Rusland en China. Bovendien is het moederbedrijf van Kaspersky ook nog eens feitelijk geregistreerd in het Verenigd Koninkrijk. Dat terzijde, maar het gaat erom dat zoveel andere landen ook spioneren. De overheid moet ervoor zorgen, dat alle mogelijke achterdeurtjes dichtgehouden worden. Technisch zijn er meer dan voldoende maatregelen voorhanden die daarvoor zorgen.”

Basis voor vertrouwen
“Je moet niet naïef zijn want er zijn landen met bepaalde risico’s, maar de keuze om software van Kaspersky te verbieden, heeft de overheid op een onzorgvuldige en onjuiste manier gedaan”, erkent D66 Tweede Kamerlid Kees Verhoeven. De politicus pleit voor heldere regels die beschrijven wanneer een land of een bedrijf als risico wordt beschouwd, ongeacht waar dat bedrijf vandaan komt.
“Transparantie, verifieerbaarheid en aansprakelijkheid zijn basis voor vertrouwen.”

Meer eigen verantwoordelijkheid
Ernst-Jan Stigter, Voorzitter Nederland ICT, pleit voor meer eigen verantwoordelijkheid nemen. Een keurmerk voor integere veilige technologie gaat wat hem betreft niet helpen. “De basis voor vertrouwen is transparantie, verifieerbaarheid en aansprakelijkheid. Dit vraagt om inspanning van zowel de ICT-sector als de overheid. De veranderende geopolitieke context maakt dat juist overheden zich verantwoordelijk moeten opstellen. Beleid en besluiten moeten feitelijk zijn om het vertrouwen van burger en bedrijven te behouden. En natuurlijk moeten we als sector intensief met de overheid samenwerken aan kaders en instrumenten om te blijven investeren in dat vertrouwen.”

Grillig
“Beslissingen nemen op basis van geruchten doet de overheid niet. De geopolitiek is zo grillig dat we op Europees niveau meer moeten gaan samenwerken omwille van digitale veiligheid”, zegt Sico van der Meer, onderzoeker bij Clingendael. Net als Stigter gelooft hij niet in een keurmerk voor integere veilige technologie. “We moeten waken voor schijnveiligheid. Je kunt immers veiligheid nooit 100% garanderen. Daar gaat een keurmerk ook geen verandering in brengen.”
Michiel Steltman, managing director van Digitaal Infrastructuur Nederland (DINL) benadrukt nog dat de overheid veel meer zou moeten investeren in bestaande initiatieven zoals het Digital Trust Center waar nu zeer beperkte budgetten voor gealloceerd worden.