In dit artikel beantwoordt Daniek Regterschot de vraag: wie kan aansprakelijk worden gehouden voor de schade die ontstaat door beveiligingslekken? Daarnaast geeft zij 5 tips ter voorkoming van cybercrime binnen uw onderneming.
Datum: 25 oktober 2023
Geschreven door: Daniek Regterschot
Leestijd: +/- 2 minuten
De maand oktober staat nationaal in het teken van (het belang van) cybersecurity. In een tijd waarin zo goed als alle gegevens en data digitaal wordt uitgewisseld, is ook het risico op misbruik daarvan enorm toegenomen. Systemen die uitvallen, aanvallen door virussen of phising maar ook directe hacks komen dagelijks voor. Cybercrime heeft de laatste jaren zo ook zijn effecten gehad op de productiebranche.
In het voorjaar van 2021 lag er bijvoorbeeld geen kaas in de schappen van de Albert Heijn, in verband met een hack bij de leverancier. En meer recent lagen de statiegeldautomaten in veel supermarkten plat door een hack bij de beheerder van deze automaten. Ondanks dat dit voor de winkelier vooral zorgt voor veel ongemak, kan dit ook leiden tot aansprakelijkheid van de leverancier, in verband met bijvoorbeeld misgelopen winst door de verkoper.
In dit artikel beantwoordt Daniek Regterschot de vraag: wie kan aansprakelijk worden gehouden voor de schade die ontstaat door beveiligingslekken? Daarnaast geeft zij 5 tips ter voorkoming van cybercrime binnen uw onderneming.
Eerder bespraken wij in deze blog al dat een ICT-leverancier aansprakelijk kan worden gehouden voor een ransomware-aanval. Dat betekent daarentegen niet dat u zelf de teugels kunt laten vieren.
In beginsel geldt namelijk dat ieder bedrijf zelf verantwoordelijk is voor haar eigen IT-systemen en daarmee dus ook voor de beveiliging en het maken van de back-ups daarvan. Zo oordeelde de rechtbank Overijssel recentelijk dat niet de door de gemeente ingeschakelde IT-leverancier, maar de gemeente zelf verantwoordelijk was voor de geleden schade.
Of de verantwoordelijkheid voor de bescherming van uw IT-systemen bij uw bedrijf ligt of bij uw IT-leverancier, hangt af van de gemaakte afspraken en wat partijen hierin van elkaar mochten verwachten. Als een IT-leverancier wordt ingeschakeld, dan is het belangrijk dat de gemaakte afspraken duidelijk zijn. Zo kan de afspraak: “De IT-leverancier is verantwoordelijk voor de te maken back-ups” te vaag zijn. Leg dus aanvullend vast wie de beveiliging regelt, wie de back-ups maakt en hoe de aansprakelijkheid is geregeld als het toch mis gaat.
Op grond van rechtspraak heeft de IT-leverancier een bijzondere zorgplicht, in verband met haar deskundigheid. De mate van deskundigheid van de afnemer speelt mee in de vraag hoe ver deze bijzondere zorgplicht reikt. Daarnaast is van belang in hoeverre de leverancier betrokken is bij de inrichting van het systeem. Hoe groter de rol van de IT-leverancier, hoe meer hierin van haar mag worden verwacht.
In het kader van cybersecurity is vooral van belang dat de IT-leverancier de afnemer uitdrukkelijk en meermalig waarschuwt voor risico’s. Deze waarschuwingsplicht geldt niet alleen indien een risico zich voordoet, maar ook al vanaf het begin en gedurende de samenwerking van partijen indien het gaat om een project dat grote risico’s met zich meebrengt.
Als de cybersecurity onvoldoende op orde is, kan dat verstrekkende gevolgen hebben; van financiële verliezen tot reputatieschade en veiligheidsrisico’s. Het voorkomen van cyberinbreuken is daarom beter dan genezen.
Hieronder vindt u 5 praktische tips waarmee u kunt voorkomen dat uw onderneming aansprakelijk wordt gesteld of dat uw onderneming juist blijft zitten met de geleden schade.
Het omgaan met gegevens blijft mensenwerk. Een klik op een verkeerde link zit in een klein hoekje. Daarom is het belangrijk uw medewerkers (regelmatig) te attenderen op de beveiliging van gegevens. Zorg ervoor dat zij sterke wachtwoorden gebruiken, gebruik maken van two-factor authenticatie (2FA) en help ze phishing herkennen.
Daarnaast is het goed om te werken met protocollen en intern beleid. Mocht het dan toch een keer misgaan, dan weten uw werknemers precies wat de te zetten stappen zijn.
Indien u niet samenwerkt met een IT-leverancier waarmee u duidelijke afspraken heeft gemaakt, zorg er dan voor dat u zeker weet dat uw cybersecurity goed is ingericht. Gebruik bijvoorbeeld antivirussoftware en e-mailbeveiliging.
Zorg ervoor dat het systeem (automatisch) wordt geüpdatet en maak zelf ook regelmatig back-ups van de (belangrijkste) bestanden zodat u deze extern kunt bewaren.
Stel daarnaast een (offline) bellijst op zodat u ook gedurende een cyberincident in contact kan komen met de partijen waarvan u afhankelijk bent of u verder kunnen helpen.
Zoals eerder aangegeven is het maken van duidelijke afspraken van groot belang. Wie is waarvoor verantwoordelijk en hoe wordt invulling gegeven aan die verantwoordelijkheid. Maakt u hierover geen (duidelijke) afspraken, dan geldt in beginsel dat uw onderneming zelf het risico en daarmee de aansprakelijkheid draagt.
Aansprakelijkheid wordt vaak contractueel beperkt, dan wel in de overeenkomst zelf, dan wel door middel van algemene voorwaarden. Het is belangrijk om, voor het sluiten van de overeenkomst, te beoordelen of deze beperking van aansprakelijkheid van de IT-leverancier voor uw onderneming acceptabel is.
Voor ondernemingen met maximaal 50 werknemers en een jaaromzet van minimaal € 10 miljoen is er een cybersecurity subsidie beschikbaar. Hiermee kunt u middelen aanschaffen die de onderneming beter beschermen tegen digitale incidenten. Het beschikbare budget wordt uitgedeeld op basis van ‘wie het eerst komt, wie het eerst maalt’.
Bekijk de status en beschikbaarheid van deze subsidie via deze pagina.
Heeft u vragen over cybersecurity bij een gesloten of nog te sluiten IT-contract of wilt u advies over uw positie in geval van een cyberinbreuk? Neem dan contact op met een van onze advocaten gespecialiseerd in cybersecurity, zij helpen u graag verder!
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.