Hoe veilig is Fox-IT zelf?

Een pleister plakken. Meer was het niet. De Nederlandse overheid is in de loop van november 2015 compleet overvallen door het nieuws dat het Nederlandse digitale beveiligingsbedrijf Fox-IT in buitenlandse handen valt. Fox-IT is bij het grote publiek niet zo bekend, maar in de kleine kring van mensen die ervoor moeten zorgen dat staatsgeheimen veilig zijn, heeft het bedrijf een degelijke reputatie.

De overname drukte de overheid en de inlichtingendiensten met de neus op de feiten. Nederland mist, in tegenstelling tot bijvoorbeeld de Verenigde Staten en het Verenigd Koninkrijk, wetgeving om te toetsen of buitenlandse overnames fout kunnen uitpakken voor gevoelige en geheime gegevens. Of het nu om staatsgeheimen gaat, zoals de communicatie van het ministerie van Defensie. Of om patenten en software van particuliere ondernemingen.

Nederland moet bij buitenlandse overnames niet naïef zijn

Nederland moet, om een rapport uit april 2014 van de Nationaal Coördinator Terrorismebestrijding te parafraseren, bij buitenlandse overnames niet naïef zijn, maar ook niet in een reflex van paranoia schieten. Na de overname van Fox-IT besloot de overheid tot uitzonderlijke en vergaande eisen. De overheid wil onder meer via het ministerie van Defensie zeggenschap over belangrijke besluiten bij het dochterbedrijf van Fox-IT dat zich bezig houdt met de feitelijke beveiliging van staatsgeheimen, zo meldde NRC woensdag. De gevraagde maatregelen zijn echter nog steeds niet uitgewerkt.

Het werk dat Fox-IT voor de overheid doet, is zo gespecialiseerd dat de overheid dit nooit zelf kan doen. Dat roept een klassieke vraag op: wie bewaakt de bewaker? Als Fox-IT de overheid beveiligt, wie beveiligt dan Fox-IT? Vergelijkbare vragen kunnen gesteld worden bij de astronomische hoeveelheden gegevens die consumenten en bedrijven dagelijks met elkaar delen via de digitale snelwegen die doorgaans in private en buitenlandse handen zijn.

Als Fox-IT de overheid beveiligt, wie beveiligt dan Fox-It?

Minister Henk Kamp (Economische Zaken, VVD) heeft na de mislukte Mexicaanse overname van KPN, een van die digitale snelwegen, een wetsontwerp in het vooruitzicht gesteld dat ongewenste zeggenschap in de telecommunicatiesector moet voorkomen. Vervolgens heeft Kamp de reikwijdte verbreed. Deze belangen vragen ook om een nieuwe kijk op wat de overheid moet beschermen en wat niet. Een traditioneel nutsbedrijf zoals de posterijen valt er bijvoorbeeld buiten, zoals minister Kamp terecht naar voren bracht bij de recente Belgische overnamepoging van PostNL.

Maar pleisters plakken zoals bij Fox-IT is geen langetermijnoplossing. De overheid moet zich niet nog eens laten verrassen. Het beloofde wetsontwerp heeft al te lang op zich laten wachten.

Lees ook: Wakker geschrokken na Britse overname Fox-IT