De Chevron-eerbied is dood. Wat nu?

Door Danny Bradbury • 15 augustus 2024

Deze zomer kwam er een einde aan een veertig jaar durende juridische doctrine die aanzienlijke gevolgen belooft te hebben voor de cyberveiligheid – en vele andere sectoren. Wat is het en wat betekent de intrekking ervan?

De Chevron Deference, die veertig jaar teruggaat, beschrijft de speelruimte die federale agentschappen hebben om hun eigen beleid te interpreteren bij het reguleren.

Het Congres heeft in 1977 de Clean Air Act bijgewerkt, waardoor organisaties worden gedwongen technologie voor verontreinigingsbeheersing te installeren telkens wanneer zij technische wijzigingen in hun faciliteiten doorvoeren.

Wetten als deze worden gemaakt door de wetgevende macht van de Amerikaanse regering (het Congres), maar vereisen dat de uitvoerende macht (federale agentschappen) ze door middel van regelgeving afdwingt. In dit geval was het de taak van de Environmental Protection Agency ervoor te zorgen dat de vervuilers de veranderingen doorvoerden. Onder de toenmalige regering-Carter (dit was de president die zonnepanelen op het dak van het Witte Huis installeerde) zou de EPA deze waarschijnlijk krachtig hebben afgedwongen.

Wanneer de regering echter verandert, verandert ook de houding van de toezichthouders, dankzij politieke benoemingen in de leiding van de agentschappen. Begin jaren tachtig voerde oliegigant Chevron enkele wijzigingen door in een van zijn fabrieken, maar tegen die tijd stond de EPA onder de meer conservatieve regering Reagan (Reagan was de president die die zonnepanelen verwijderde).

Reagan's EPA interpreteerde zijn regelgeving om energiecentrales als een enkele eenheid te behandelen in plaats van zich te concentreren op individuele apparaten. Hierdoor kon Chevron de apparatuur in zijn fabriek updaten zonder extra luchtwassers te installeren.

De Natural Resources Defense Council (NRDC) klaagde de EPA aan, met het argument dat deze de regels strikter had moeten interpreteren. Het Hooggerechtshof redeneerde dat federale agentschappen hun eigen regels zouden moeten interpreteren in plaats van de rechterlijke rechtbanken, zolang de interpretatie niet in strijd is met de taal van de verordening.

Vanaf dat moment zou elke uitspraak van de rechtbank over een zaak waarbij federale regelgeving betrokken is, bij de interpretatie van de regelgeving moeten worden overgelaten aan het federale agentschap. De grondgedachte was dat het agentschap over meer expertise beschikte dan federale rechters.

Dat wil zeggen, tot nu toe. Op 28 juni deed het Hooggerechtshof uitspraak in een andere zaak, Loper Bright Enterprises v. Raimondo. Loper Bright is een visserijbedrijf uit New England dat een besluit van de National Marine Fisheries Service (NMFS) wilde aanvechten. Op grond van de Magnuson-Stevens Act, die visserijbeperkingen oplegt, verplicht de NMFS vissersboten om overheidsinspecteurs aan te stellen om hun vangsten te controleren op kosten van de visserijbedrijven.

Loper Bright had het vermogen van de NMFS om die regeling op te leggen betwist bij de districtsrechtbank, die de Chevron Deference toepaste om de NMFS te laten beslissen. De zaak ging naar het Hooggerechtshof, dat de beslissing vernietigde en daarmee feitelijk de Chevron Deference introk.

Wat dit betekent voor cyberbeveiliging

Deze beslissing stelt districtsrechtbanken opnieuw in staat te beslissen hoe federale agentschappen wettelijke statuten moeten interpreteren, wat volgens deskundigen neerkomt op het laten beslissen van rechters over beleid. De NRDC, die uiteindelijk de Chevron Deference verwelkomde als een middel om zekerheid te bieden in geschillen over federaal beleid, gesprekken een juridisch landschap na de Deference “komt neer op het gooien van een pijl naar een dartbord op een lagere rechtbank”.

“[Er zijn] meer dan tien verschillende circuits, elk met meerdere rechters”, betoogt John Walke, een senior pleitbezorger in het Environmental Health-programma van de organisatie. “Ieder met het vermogen om te beslissen welke redelijke interpretatie de redelijke interpretatie is die de voorkeur heeft.”

Wat heeft dit met cyberveiligheid te maken? Dit is een relatief jonge discipline die nog steeds bezig is met het uitwerken van federaal beleid. De zorg is nu dat het overlaten van beleidsbeslissingen aan een panel van districts- en circuitrechters met verschillende meningen de wateren zal vertroebelen.

Federale instanties worden agressiever in het reguleren van cyberbeveiliging, maar met a Een congres dat minder productief is dan ooit, vertrouwen ze steeds meer op het toevoegen van regelgeving aan oudere statuten die niet verwijzen naar cyberbeveiliging, zeggen, Harley Geiger, Ines Jordan-Zoob en Tanvi Chopra bij het Center for Cybersecurity Policy.

De specialisten van het Centrum maken zich zorgen dat de teloorgang van de Chevron Deference gevolgen zou kunnen hebben voor meerdere recente wijzigingen in de regelgeving, waaronder de eis van de SEC dat organisaties cyberveiligheidsincidenten snel moeten melden, samen met de herzieningen uit 2022 van de Gramm-Leach-Bliley Act die financiële instellingen verplichtte cyberveiligheidsincidenten te melden. De statuten waarop deze regelgeving is gebaseerd, bevatten geen expliciete taal op het gebied van cyberbeveiliging. Zonder de bescherming van de Chevron Deference zouden ze te maken kunnen krijgen met juridische uitdagingen bij districtsrechtbanken.

Het Centrum vreest dat dit het voor organisaties moeilijker zal maken om duidelijke, landelijke regels voor het cyberveiligheidsbeleid te krijgen.

“Het resultaat kan een minder consistentie zijn in de toepassing van regelgeving in verschillende rechtsgebieden”, zeggen de auteurs. “Inspanningen van de uitvoerende macht om de cyberbeveiligingsregelgeving te harmoniseren zonder uitdrukkelijke toestemming van het Congres kunnen aan kracht verliezen, waardoor de industrie gedwongen wordt om te blijven worstelen met een lappendeken van beveiligingsregels.”

De auteurs van het Centrum zijn ook bezorgd dat nieuwe wetten over cyberbeveiligingskwesties minder dubbelzinnig zullen moeten zijn, waardoor toezichthouders minder ruimte voor interpretatie hebben in een snel evoluerende technologiesector. Dit zou het moeilijker kunnen maken om toekomstige cyberveiligheidswetten door te voeren, waarschuwen de auteurs.

Er blijft één juridische test bestaan die rechtbanken in staat stelt beleidskwesties aan federale instanties over te laten. Het heet de Skidmore-doctrine en komt voort uit een zaak uit 1944 waarin rechtbanken zich konden houden aan de interpretatie van een bureau op basis van ‘de macht om te overtuigen, als ze niet de macht hebben om te controleren’. Hoe goed een bureau overtuigt, is echter vermoedelijk nog steeds de mening van een rechter in een rechtszaak of in hoger beroep.

Wat moet je doen?

Wat betekent dit voor bedrijven die proberen te voldoen aan de cyberbeveiligingsregels?

“Misschien zijn er nu meer dan ooit initiatieven uit de particuliere sector nodig om vrijwillig effectieve programma’s voor cyberrisicobeheer in te voeren om de veerkracht van consumenten, bedrijven en de samenleving te versterken”, zeggen de auteurs van het Center for Cybersecurity Policy.

Gelukkig zijn er tal van robuuste raamwerken, waaronder ISO 27001 en het NIST cybersecurity-framework, waarop bedrijven hun cybersecurity-inspanningen kunnen baseren. Hierdoor is de kans groter dat bedrijven aan federale regelgeving voldoen en bieden ze ook meer bescherming tegen cyberveiligheidsincidenten. In een meer volatiele juridische omgeving biedt robuuste vrijwillige naleving een zekere mate van zekerheid en toont aan dat organisaties hebben voldaan aan de geest, en niet alleen aan de letter, van de wet.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury