China wil cybersecuritytoets voor beursgenoteerde bedrijven

Tempel van de Hemel in Beijing (China)

Ondernemingen in Hongkong die overwegen om een beursgang te maken, moeten verplicht een cybersecuritytoets afnemen. Deze verplichting geldt enkel als het bedrijf gegevens verwerkt die de nationale veiligheid in gevaar kunnen brengen. Het is nog onduidelijk wat de Chinese overheid daaronder precies verstaat.

Dat blijkt uit een conceptvoorstel dat zondag is gepubliceerd door de Chinese toezichthouder, zo schrijft Bloomberg.

Nieuwe wetgeving tegen techbedrijven in werking getreden

De Chinese regering en Chinese technologiebedrijven staan al enige tijd tegenover elkaar. Afgelopen zomer kwam Xi Jinping, de president van de Chinese Volksrepubliek, met een reeks voorstellen om Chinese techbedrijven te reguleren. Zo kwam er een verbod op neprecensies, wordt intellectueel eigendom beter beschermd en mogen techbedrijven als Tencent en Alibaba het technisch niet  onmogelijk maken voor klanten om gebruik te maken van elkaars diensten.

Begin deze maand trad een nieuwe wet in werking die de online privacy van Chinese internetgebruikers beter moet waarborgen. Sindsdien zijn technologiebedrijven wettelijk verplicht om de opslag van persoonsgegevens te verbeteren. Het beginsel van dataminimalisatie -alleen die gegevens verzamelen die noodzakelijk zijn om een dienst aan te bieden- is eveneens voortaan in de wet vastgelegd. Verder zijn er regels geformuleerd waaronder techbedrijven persoonsgegevens mogen verzamelen en dat er regelmatig audits uitgevoerd moeten worden zodat de informatiebeveiliging op orde is.

Bedrijven die de nieuwe regels overtreden, kunnen rekenen op forse boetes. De Chinese toezichthouder PCPD mag in ‘ernstige gevallen’ sancties opleggen die kunnen oplopen tot omgerekend 6,8 miljoen euro, of 5 procent van de totale jaaromzet. Tevens mag de PCPD bedrijven dwingen om hun activiteiten te staken of hun bedrijfsvergunning intrekken.

Chinese overheid overweegt verplichte cybersecuritytoets

Daar blijkt het echter niet bij. Het Amerikaanse persbureau Bloomberg meldt dat er momenteel een plan op tafel ligt die techbedrijven in Hongkong verplicht om een cybersecuritytoets af te nemen als ze naar de beurs willen gaan. Als deze beursgang mogelijk gevolgen heeft voor de nationale veiligheid van China, moeten ze deze verplichte toets ondergaan.

Wat er onder ‘nationale veiligheid’ wordt verstaan, staat niet expliciet beschreven in de aanstaande wet. Wel staat er iets in over internetbedrijven die “grote hoeveelheden data verzamelen die relevant zijn voor de veiligheid, economische ontwikkeling of het openbaar belang van het land”. Als dergelijke partijen worden overgenomen, gefuseerd of geherstructureerd en dat mogelijk een impact heeft op de nationale veiligheid, dan is een cybersecuritytoets verplicht.

Bedrijven die persoonsgegevens van één miljoen gebruikers of meer verwerken, moeten de cybersecuritytoets ondergaan, zo laat de Chinese toezichthouder in een verklaring weten. Eerder deze zomer vertelden anonieme bronnen tegenover Bloomberg dat China een uitzondering wilde maken voor technologiebedrijven uit Hongkong. Xi Jinping is daar kennelijk op teruggekomen.

Het conceptvoorstel wordt momenteel besproken. Na 13 december wil de overheid de knoop doorhakken over de wetgeving.

IT-verklaring als onderdeel van lening

China is niet het enige land dat nadenkt over een verplichte cybersecuritytoets. Ook in ons land gaan er stemmen op voor een zogeheten IT-verklaring. Bedrijven die een lening willen afsluiten, moeten dan aantonen dat ze hun best doen om de onderneming digitaal weerbaar te maken tegen ransomware- en DDoS-aanvallen of andere cyberdreigingen. De IT-verklaring zou een verplicht onderdeel worden van een accountantsverklaring.

Volgens Marc Welters, bestuurder bij Norea, de beroepsvereniging voor IT-auditors en bedenker van het initiatief, is er brede steun van bedrijven, banken, investeerders en accountantskantoren.  “Wij zijn één van de meest gedigitaliseerde landen. Andere landen, ook de VS, doen meer op papier. Het is daarom belangrijk dat we ook in de controle voorop lopen”, zo vertelde hij in augustus tegen het Financieele Dagblad.

Experts denken dat een verplichte IT-verklaring een goed middel is om het Nederlandse bedrijfsleven minder kwetsbaar te maken voor digitale aanvallen. “In praktijk kan zo’n verklaring heel snel veranderen van ‘nice to have’ in een verplichting. Financiers willen graag zekerheid over de IT-systemen, als ze met een bedrijf in zee gaan”, aldus Wido Dalhuisen van accountantsorganisatie BDO.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen