De Nederlandse regering heeft een Algemene Maatregel van Bestuur gepubliceerd waarmee zij providers kan verplichten bepaalde netwerkapparatuur uit hun netwerk te halen. Dat meldde Tweakers vorige week. De AMvB bevat de bevoegdheid om een bedrijf aan te merken als ‘verdacht’ (zeg maar even) en dus niet gewenst om aan Nederlandse providers apparatuur of dienstverlening te leveren. Dit is volgens mij de eerste keer in telecomland dat er zó specifiek een bevoegdheid wordt gecreëerd om een partij te kunnen weren van de Nederlandse ict-infrastructuurmarkt. Wel moet het dan gaan om “de onderdelen [van de ict] waarvoor geldt dat de leverancier uitgebreide toegang tot gevoelige locaties, gevoelige ict-systemen, vitale infrastructurele installaties of werken krijgt, waarbij misbruik een nationaal veiligheidsrisico kan vormen.”
Al lange tijd gaat het bericht dat het Chinese bedrijf Huawei zou spioneren voor de Chinese overheid. Echt hard bewijs komt daar (natuurlijk) nooit van boven tafel, maar echt uitsluiten kan ook niet. In mei kwam aan het licht dat de AIVD onderzocht welke mate van toegang Huawei had tot gegevens op Nederlandse netwerken, en of dat een bug dan wel een backdoor was. Desondanks blijven de zorgen bestaan, en die worden actueel nu providers bezig gaan met 5G netwerken opzetten.
Begin juli kwamen ministers Grapperhaus Keijzer (Veiligheid/EZ) met een Kamerbrief waarin deze AMvB al werd aangekondigd, als onderdeel van een pakket maatregelen om de veiligheidsrisico’s rond de 5G-netwerken te beperken. Dat was dan weer een reactie op Kamerzorgen over Huawei en haar rol in de 5G-dienstverlening in Nederland. Het is dan ook niet gek dat hoewel deze AMvB keurig neutraal is geformuleerd, iedereen weet dat hij maar één keer ingeroepen gaat worden en tegen welk bedrijf ook nog:
a. [een partij uit] een staat, entiteit of persoon is waarvan bekend is of waarvoor gronden zijn te vermoeden dat deze de intentie heeft een in Nederland aangeboden elektronisch communicatienetwerk of -dienst te misbruiken of uit te laten vallen, of
b.nauwe banden heeft met of onder invloed staat van een staat, entiteit of persoon als bedoeld onder a, of een entiteit of persoon is ten aanzien van wie er gronden zijn om dergelijke banden of invloed te vermoeden.
Bij misbruik valt te denken aan spionage: ongeoorloofde toegang tot communicatiegegevens (zowel verkeersgegevens als inhoud van communicatie). En de toelichting maakt duidelijk dat het moet gaan om een land met een offensief cyberprogramma gericht tegen Nederlandse belangen. En een vermoeden van die banden is bovendien genoeg, omdat het gaat om kritieke onderdelen van belangrijke netwerken.
De stap is opmerkelijk, zo expliciet aansturen op wetgeving om een bedrijf uit te sluiten heb ik nog niet eerder gezien. Maar er is geen ontkomen aan. In een aanbesteding kan een telecomprovider moeilijk zeggen “we willen geen offerte van Huawei”, en zonder wetgeving kan de overheid een partij ook niet dwingen om dat bedrijf te vermijden.
Wel interessant wordt straks het aanwijzingsbesluit. Reken maar dat Huawei meteen naar de rechter stapt om dat aan te vechten; er is immers geen bewijs. En dan wordt de leuke juridische vraag of de overheid het mag houden op “de AIVD heeft staatsgeheime vermoedens”. Ik ben echt serieus benieuwd wat de rechter daarvan gaat zeggen.
Arnoud