Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Nieuwe klokkenluidersregeling in België: een safe harbour voor ethische hackers

Leesduur: 4 minuten
nieuwe klokkenluidersregeling

Je moet het al tussen de regels door lezen, maar met de nieuwe klokkenluiderswetgeving van 28 november 2022 is er een ommekeer in de strafbaarstelling van ethische hackers in België. Wie onze vorige blogs gelezen heeft, weet dat het Centrum voor Cybersecurity (CCB) de praktijk van de Coordinated Vulnerability Disclosure Policies aanmoedigt voor ondernemingen en dat deze safe harbour elders al meer ontwikkeld is. Met de nieuwe rechtvaardigingsgrond in deze klokkenluidersregeling gaan we een stap verder en worden de goede bedoelingen van de hackers nu echt beloond.

En dat is een goede zaak, want uit studies blijkt dat ondernemingen massaal hun eigen meldingsplichten niet respecteren en dat potje liever gedekt houden om hun reputatie te beschermen. Ethische hackers zijn dan de uitgelezen kans om tijdig kwetsbaarheden te melden, zodat het CCB ten volle haar rol kan spelen.

De verouderde wet informaticacriminaliteit

De wet informaticacriminaliteit dateert van exact 22 jaar geleden (28 november 2000!) en zag hacking als een gevaarzettingsdelict pur sang. Dat wil zeggen dat de goede intenties van ethische hackers geen enkele relevantie hebben om al dan niet veroordeeld te worden. Het enige relevante criterium is de toestemming om de IT-systemen te hacken. Dit frustreert heel wat ethische hackers die goedbedoeld een kwetsbaarheid ontdekken bij een organisatie, maar dat niet kunnen melden zonder het risico te lopen zelf strafrechtelijk vervolgd te worden.

In 2013 werd nochtans een Europese richtlijn uitgevaardigd (2013/40) over aanvallen op informatiesystemen. Deze richtlijn zette de lidstaten ertoe aan om mogelijkheden aan te reiken voor de wettige opsporing en rapportering van beveiligingslacunes. Het creëren van een rapportageregeling in combinatie met aansprakelijkheidsregels voor organisaties die daar weinig tot niets mee doen, zou een logische en vooruitstrevende keuze geweest zijn. De wetgever had toen echter geen aandacht voor het preventieve luik van deze richtlijn.

De regeling aan de hand van de CVDP’s was een eerste tussenstap, maar het risico voor de ethische hacker blijft daar grotendeels hetzelfde.

Die aandacht werd nadien wel aangewakkerd door de Klokkenluidersrichtlijn, waarvan de huidige klokkenluiderswetgeving de uitwerking is. Deze wetgeving voorziet in een aanvullende regeling onder de NIS-wetgeving van 2019. Ethische hackers die de correcte procedure en principes in deze wetgeving respecteren en dus bijdragen aan de individuele maar ook maatschappelijke cyberveiligheid, worden uit het strafrecht (en het burgerlijk- en tuchtrecht) gehaald. De wet voorziet immers in een objectieve rechtvaardigingsgrond.

Hoe kan je als ethisch hacker nu op je twee oren slapen?

Welke procedures en principes moeten er gerespecteerd worden? 
Er gelden vier voorwaarden:

  • de hacker moet zonder bedrieglijk opzet of het oogmerk om te schaden hebben gehandeld. Dit betekent bijvoorbeeld dat je niet kan vragen om betaald te worden voor de ontdekte informatie (tenzij er sprake is van een pentest, bug bounty-programma, CVDP of andere voorafgaandelijke contractuele regeling).
  • de organisatie die verantwoordelijk is voor het IT-systeem moet zo snel mogelijk en uiterlijk bij melding aan het CCB worden ingelicht. De hacker moet transparant zijn over de manier waarop hij te werk is gegaan.
  • de gebruikte acties en onderzoeksmethodes moeten evenredig zijn met het doel de beveiliging van het IT-systeem te verbeteren. De handelingen van de hacker moeten steeds voldoen aan het noodzakelijkheids- en proportionaliteitsprincipe. Om ethische hackers bij deze evaluatie te helpen, zal het CCB op haar website in de toekomst een indicatieve lijst van technieken publiceren. Deze lijst zal ook als leidraad dienen voor de rechtbank die nadien een oordeel zou moeten vormen over de manier waarop de hack verlopen is.
  • de informatie over de ontdekte kwetsbaarheid mag niet openbaar worden gemaakt zonder toestemming van het CCB.

Let wel op: deze regeling is enkel beperkt tot het Belgisch recht en biedt ethische hackers geen bescherming voor hun acties die onder het recht van andere landen vallen.

Is deze wettelijke bescherming voldoende?

Deze nieuwe wettelijke bescherming zal van kracht gaan op 15 februari 2023 en is een enorme stap voorwaarts. Maar toch menen we dat ethische hackers nog meer bescherming moeten genieten in de uitermate belangrijke maatschappelijke rol die zij in de toekomst zullen spelen. 

Chirurgen maken zich bijvoorbeeld tijdens een operatie in principe schuldig aan slagen en verwondingen, maar zullen hiervoor in hun normale beroepsuitoefening niet strafrechtelijk voor vervolgd worden. Voor zo’n operatie is niet altijd de toestemming van de patiënt nodig (vb. een spoedoperatie bij een patiënt in coma) en speelt uiteraard de maatschappelijke functie als geneesheer die in dienst staat van de volksgezondheid. Om die maatschappelijke rol kwaliteitsvol te bewaken, zijn deze chirurgen verbonden aan de Orde der geneesheren.

Om diezelfde reden zijn er voldoende argumenten om bijvoorbeeld een Orde der beveiligingsonderzoekers op te richten. Op die manier kan de digitale gezondheid van onze maatschappij kwaliteitsvol gewaarborgd worden. Ethisch hackers vinden bijkomende bescherming in een erkende beroepsgroep met o.a. een eigen deontologie en tuchtregeling, een eigen toegangsbewaking, peer-to-peer controle en kwaliteitsbewaking door verplichte opleidingen. Verzekeringsmaatschappijen kunnen vervolgens overwegen om deze groep te verzekeren voor hun beroepsaansprakelijkheid.

We zijn dus op de goede weg, maar er is nog wel wat werk aan de winkel.

Vragen over deze nieuwe wetgeving? 

Voor al je vragen over cybersecurity kan je terecht bij Roeland Lembrechts via roeland@siriuslegal.be. Je kan ook gratis een videocall inboeken via de link hiernaast. 

Maak een gratis afspraak

Sirius Blogt

Aanvullende artikels op onze blog

17.12.2020 Roeland Lembrechts

Wie laat zich vrijwillig hacken? De “coordinated vulnerability disclosure policy” voor ethische hacking.

Om de cyberveiligheid van je bedrijf of organisatie te verhogen kan je een coordinated vulnerability disclosure policy gebruiken ...

24.05.2022 Roeland Lembrechts

Het is goed vertoeven in de VS als ethisch hacker. Is dat ook zo in België?

In de Verenigde Staten is de Computer Fraud and Abuse Act (CFAA) belangrijke wetgeving als het gaat over de vervolging van ...

Populair artikel datalek melden
20.04.2021 Roeland Lembrechts

Iemand nog een datalek te melden? Durf jij nog twijfelen aan de noodzaak van cyber security?

Kranten en tijdschriften melden de laatste tijd bijna dagelijkse nieuwe hacks en datalekken bij bedrijven. De voorbeelden bij ...

Sirius Talks

Vlaio Cyber Security verbetertrajecten voor KMO's

Kijktijd: 2:28

4 tips om snel te starten met Cyber Security

Kijktijd: 4:05