+31 (0)20 2060700info@devos.nl
Perfectionistisch en vastberaden, maar altijd met oog voor goede balans tussen opbrengst en kosten

Jasper Hulsebosch
Jasper Hulsebosch

Jasper Hulsebosch


Jasper is een ervaren advocaat met een internationale praktijk op het gebied van IE/IT en met een focus op het gebied van privacy, cybersecurity, anti-piracy en brand protection. Tot zijn cliënten behoren multinationals en (middel)grote ondernemingen en hij adviseert hen onder meer over privacy- en cybersecurity vraagstukken en de aanpak van illegaal aanbod van illegale software en (merk)producten.

In 2018 heeft Jasper zijn Grotius specialisatieopleiding ‘Informaticarecht’ voltooid en over de onderwerpen cybersecurity en privacy zijn meerdere publicaties van hem verschenen in het bekende juridische tijdschrift Computerrecht. Ook schrijft hij over deze onderwerpen op de website Techzine. Jasper is daarnaast lid van Vereniging Informaticarecht Advocaten (VIRA) en het internationale netwerk van IT juristen genaamd ‘ITechLaw’.

Jasper is een vlotte, toegankelijke advocaat, met een passie voor DJ-en en tennis. Bij het oefenen van die hobby’s voeren gedrevenheid en perfectionisme de boventoon. De combinatie van die eigenschappen met een pragmatische aanpak, maken Jasper tot een ideale advocaat voor diverse (middel)grote ondernemingen en ondernemers

Recente blog berichten • Jasper Hulsebosch

27-05-2021 - door Jasper Hulsebosch

Draft proposal for the cybersecurity directive ‘NIS2’

“More companies subject to EU cybersecurity legislation, CSP’s subject to stricter regime & new provisions on incident reporting and administrative sanctions”  I. NIS Directive: first piece of EU-wide cybersecurity legislation The safety and security of network and information systems are important elements for the European Commission in realising an internal digital market. For that purpose, in 2016 the ‘Network and Information Security Directive’ (NIS Directive) entered into force. The NIS Directive aims at harmonising security requirements and encouraging cooperation. The NIS Directive applies to ‘network and information systems’ (incl. the Internet and a company’s ICT infrastructure), and addresses the following two groups: ‘Operators of essential services’ (OES) and ‘Digital service providers’ (DSP). OESs are public or private entities that provide services that are essential for the maintenance of critical societal and/or economic activities, for which they depend on network and information systems, and on which provision of services an incident would have significant disruptive effects. The NIS Directive lists the sectors providing essential services: energy, transport, banking, the infrastructure of financial markets, the health sector, drinking water supply and distribution and digital infrastructure. It is up to the Member States to designate the entities that will qualify as operators of essential services. DSPs are divided into providers of online marketplaces, online search engines and cloud computing services. This group is not further specified and the Member States do not have to designate digital service providers. Every ‘large’ company operating as a DSP (with >50 employees and/or 10+ million turnover) falls within the scope of the NIS Directive. In summary, the NIS Directive stipulates that OESs and DSPs must take appropriate and proportionate technical and organisational measures to adequately protect their ICT, and notify incidents with significant effects to the competent authority or the Computer Security Incident Response Team (CSIRT). Please do note in this context that the NIS Directive does not only address wilful attacks (like hacking) but also ICT incidents caused by human error or incidents that endanger the availability of data or services. The NIS Directive seeks minimum harmonisation, which means that the Member States must transpose their national laws to comply with the minimum requirements of the Directive but still have the possibility to pursue a higher level of protection. In the Netherlands the ‘Network and Information Security Systems Act’ (Wbni) has transposed the NIS Directive into Dutch law. The NIS Directive raised questions about the identification of OESs and DSPs (thus its ‘scope’) as result of which implementation proved difficult. That in combination with the increased dependence on information technology especially since Covid19, evaluation of the NIS Directive was necessary. II. Draft proposal NIS2 The European commission ran an open public consultation to evaluate the NIS Directive. One of the main conclusions was the lack of a harmonized approach, resulting in significant inconsistencies in the way Member States draw up lists of OESs and DSPs. As a result, companies of the same type might be identified as an OES or DSP in one Member State but not in another Member State, and thus being excluded from the scope of the NIS Directive depending on the Member State in which they operate and have their main office. For instance, a major hospital in a Member State is not considered an OES and therefore not required to take security measures and report IT-incidents whilst a similar large hospital located in another Member State falls under the NIS Directive and is subject to the security and notification obligations. Also, the supervision and enforcement regime of the NIS Directive proved to be ineffective. To further enhance the level of cybersecurity in the EU, the European Commission presented the ‘NIS2’ which eventually would repeal and replace the NIS Directive. The NIS2 makes systemic and structural changes to the current NIS Directive, such as: significantly extending the scope of the NIS Directive, by among others adding new sectors such as telecoms, social media platforms and the public administration; *removing the distinction between OESs and DSPs, and replacing by ‘Essential Entities’ and ‘Important Entities’ (both categories subjected to different supervisory regimes); * there is no ‘size cap’; all medium-sized and large companies active in the sectors covered by the NIS2 would automatically need to comply with the security rules; more strict cybersecurity measures, by including a list of 7 basic security elements which companies must address or implement (e.g. incident handling, supply chain security and use of cryptography and encryption); it recognizes the importance of ‘Internet of Things’ (IoT), by addressing cybersecurity of the ICT supply chain and supplier relationships by requiring individual companies to address cybersecurity risks in supply chains and supplier relationships; more precise provisions on incident reporting (including a two-stage approach by filing an initial report within 24 hours after becoming aware of an incident followed by a final report one month later); a minim list of administrative sanctions in case an entity is in breach of the NIS2, including binding instructions, an order to implement recommendations provided as result of audits or administrative fines up to € 10 million or 2% of the entities’ total turnover worldwide; increasing information sharing and cooperation between Member State authorities; a European vulnerability registry providing access to information on the vulnerabilities of ICT products and services. The NIS2 is in its early stages and among others the European Parliament and the Council of the European Union have to take a position on it. Hopefully the NIS2 will be adopted end of 2021 or somewhere in the course of 2022 after which Member States need to transpose it into their national laws (likely within 18 months after the date of entry into force of the NIS2). III. Conclusion The draft proposal for the NIS2 extends the scope of the current NIS Directive, by adding new sectors and eliminating the size-cap. This would essentially mean that a larger group of companies could be subject to cybersecurity requirements laid down in the NIS and various national legislations. For instance, social media platforms and manufacturers of medical devices and computer, electronic and optical products are in the current draft considered as Important Entities and thus falling under the scope of the NIS2. In addition, the NIS2 provides for stricter cybersecurity measures, more precise provisions on incident reporting and a list of administrative sanctions. Interestingly, ‘cloud computing service providers’ (CSP’s) apparently are not included in the category DSP (which is currently the situation under the NIS Directive). According to the NIS2 those CPS’s are to be considered OES entities. That could mean that companies offering cloud services will become subject to fully-fledged supervisory regime (ex-ante and ex-post), with stricter rules on compliancy and security/notifying measures. Under the current NIS CSP’s are considered DSP’s facing a light supervisory regime (ex-post only). It’s clear that in the near future more and more companies will be subject to European and national cybersecurity legislation containing security measures and notification obligations. NIS2 might have the same ‘impact’ GDPR had back in May 2018…… For any further inquiries on this topic please do not hesitate to contact me at jhulsebosch@devos.nl or 020-2060734.

Lees meer

11-02-2021 - door Jasper Hulsebosch

Subdomain finders: een zegen?

Domeinnamen zoals bijvoorbeeld techzine.nl verwijzen doorgaans naar een IP-adres, vergelijkbaar met een persoon dat in een telefoonboek is gekoppeld aan een telefoonnummer. Omdat IP-adressen bestaan uit nummers en lastig te onthouden zijn, heeft men de domeinnamen geïntroduceerd. Het domeinnaamsysteem (DNS) vertaalt het IP-adres naar een domeinnaam. Ook bestaan er subdomeinen, wat het gedeelte is van het adres dat voor de domeinnaam kan staan. Bijvoorbeeld: info.techzine.nl. Het voordeel van een subdomein is bijvoorbeeld dat een bedrijf als Techzine haar medewerkers een eigen website kan geven. Vanuit SEO perspectief is het handig omdat een bedrijf een subdomein kan laten verwijzen naar haar domeinnaam zelf, en als zij een belangrijke zoekterm gebruikt voor haar subdomein dan kan zij haar vindbaarheid vergroten (aangezien zoekmachines subdomeinen als aparte websites zien). Voor zover niets nieuws, althans niet voor de gemiddelde lezer van Techzine.nl. Sommige grote bedrijven (zoals multinationals) registreren vele honderden dan wel duizenden subdomeinen, en tijdens het registratieproces laten zij daarbij aardig wat informatie achter. Veel van die subdomeinen worden uiteindelijk niet of nauwelijks meer gebruikt, en zijn in feite inactief. Indien een subdomein zelf niet meer in gebruik is en/of binnenkort verloopt maar het DNS-record daarnaar nog steeds verwijst, kan een hacker het subdomein mogelijk opnieuw registreren en daarvan vervolgens misbruik maken. Bij het bezitten van veel subdomeinen is de kans op misbruik groter. In november 2020 is het subdomein ‘vote.joebiden.com’ gekaapt door een Turkse hacker, die op dat subdomein dreigende teksten had geplaatst (zie bijv. https://www.securityweek.com/subdomain-official-joe-biden-campaign-website-defaced-turkish-hackerde). Het kan ook worden gebruikt voor ‘phishing’ doeleinden, doordat bezoekers van het gekaapte subdomein zonder dat ze het in de gaten hebben worden doorgeleid naar een phishing website. Het registreren van (veel) subdomeinen kan dus mogelijk cybercrime in de hand werken. Op internet zijn diverse ‘subdomain finders’ te vinden, welke sites fungeren als een soort zoekmachine waarbij je kan zoeken welke subdomeinnamen zijn geregistreerd en door wie. Deze subdomain finders kunnen cybercriminelen een handje helpen bij het zoeken naar potentieel ‘hackgevoelige’ subdomeinen, al dan niet bewust of onbewust. Hoe zit het ‘juridisch’ met die subdomain finders? Subdomain finders: voorkomen of juist bevorderen van cybercrime? Via een subdomain finder kan je redelijk gemakkelijk zoeken welke subdomeinen een bedrijf allemaal heeft geregistreerd. Ter illustratie: via Spyse.com kom je te weten dat Apple 13000+ subdomeinen heeft. Deze service wordt soms (enkel) tegen betaling aangeboden, en eventueel inclusief aanvullende informatie (zoals IP adres en in sommige gevallen ook e-mail adres(sen) behorende bij het specifieke subdomein). Vaak kan je simpelweg hele lijsten van door een bedrijf geregistreerde subdomeinen opvragen en downloaden. Dergelijke subdomain finders kunnen een nuttige ‘tool’ zijn voor een bedrijf om haar cyberbeveiliging (meer) op orde te krijgen. Immers, bedrijven zoals Apple kunnen hiermee inzichtelijk krijgen welke subdomeinen allemaal zijn geregistreerd en welke mogelijk moeten worden opgeschoond. Hierdoor kan bijv. phishing worden voorkomen. Echter, het werkt cybercrime ook in de hand. Het op een ‘presenteerblaadje’ geven van al die data over subdomeinen kan het hackers gemakkelijk(er) maken om ‘zwakke’ subdomeinen op te sporen, en die te gaan kapen of anderszins te misbruiken voor cybercrime doeleinden. Aanbieden zoekmachine voor subdomeinen legitiem? Men kan betogen dat het aanbieden van een zoekmachine voor subdomeinen in principe zou moeten mogen. Het betreft immers (deels) openbare data die wordt ‘gescand’ en vervolgens hapklaar wordt aangeboden. Het is niets anders dan open source data beschikbaar stellen. Bovendien kan het een nuttig instrument zijn voor bedrijven (met veel subdomeinen) om zwakke plekken in de beveiliging te vinden. Onder omstandigheden zou het exploiteren van een dergelijke zoekmachine voor subdomeinen echter onrechtmatig kunnen zijn tegenover de houders van die subdomeinen. Denk bijvoorbeeld aan de situatie dat een dergelijke zoekmachine zich vooral bezig houdt met het tegen betaling leveren van ‘lijsten’ van inactieve subdomeinen (incl. bijbehorende certificaten en emailadressen) aan partijen waarvan de identiteit onbekend is, terwijl men bovendien weet dat (inactieve) subdomeinen veelal worden gebruikt voor cybercrime activiteiten zoals phishing. Dat zou in feite neerkomen op een soort van ‘gevaarzetting’ (het ‘bevorderen’ van cybercrime), terwijl men van juist van internet dienstverleners kan verwachten dat zij cybersecurity in een hoog vaandel hebben staan. Een dergelijke handel in subdomeinen zou denk ik onder omstandigheden een schending kunnen opleveren van de zorgplicht die een internet dienstverlener heeft, en – in juridisch jargon – leiden tot strijd met hetgeen volgens het ongeschreven recht in het maatschappelijk verkeer betaamt. Dat zou dan vervolgens weer kunnen worden aangemerkt als een onrechtmatige daad (6:162 BW) richting het bedrijf dat eigenaar is van de subdomeinen. Indien de ‘verhandelde’ subdomeinen (ook) bestaan uit de merken van dat bedrijf, bijv. support.apple.com, kan het mogelijk ook worden gekwalificeerd als een merkinbreuk (tenzij de subdomain finder kan betogen een geldige reden te hebben om de merken op die manier te ‘gebruiken’). Voorlopig oordeel Zogenaamde ‘subdomain finders’ kunnen bedrijven helpen met het in kaart brengen van (al dan niet ‘slapende’ of verlopen) subdomeinen, zodat waar nodig de lijst kan worden opgeschoond ter voorkoming dat hackers er misbruik van gaan maken. Een mogelijk nuttige tool dus om cybersecurity op orde te brengen. Aan de andere kant kunnen dergelijke zoekmachines cybercrime wel ‘triggeren’ en - mede afhankelijk van hoe zij hun diensten in de markt zetten - mogelijk onrechtmatig handelen jegens de houders van de subdomeinen. Los van de discussie of het exploiteren van een subdomain finder (juridisch) door de beugel kan, is in ieder geval duidelijk dat bepaalde (veelal grote) bedrijven er goed aan doen hun lijst aan subdomeinen periodiek onder de loep te nemen! Niet alleen om zichzelf te beschermen, maar ook gelet op de beveiligingsmaatregelen die internetbedrijven mogelijk moeten treffen op grond van privacy- en cybersecurity regelgeving (zoals de wetten AVG en Wbni). Dit artikel is geschreven door Jasper Hulsebosch (advocaat en partner bij De Vos & Partners Advocaten). 

Lees meer

Oudere berichten

Werkt voor

diverse multinationals en andere (middel)grote ondernemingen, artiesten en (startende) ondernemers.


University of North Carolina at Charlotte (UNCC), Universiteit van Amsterdam (2006), Grotius postacademische specialisatieopleiding Informaticarecht (2018).


IE & ICT, Auteursrecht, Merkenrecht, Modellenrecht, Handelsnaamrecht, Privacy, Licensing, Brand protection & enforcement, Mediarecht


Software, Internet & ICT, Creatieve industrie, Privacy


t: +31 (0)20 2060734
m: 31 (0)6 28346929
m: jhulsebosch@devos.nl


Sla op met Vcard


Djuanita van Haandel


t: 020-2060729


Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Website by Omelette Du Fromage