Management

Juridische zaken

Beveiliging is gegarandeerd (?)

22 februari 2013

Het is de schrik van menige onderneming en instelling. In de eerste plaats natuurlijk vanwege oprechte bezorgdheid voor het belang van de klanten en relaties en de continuïteit van de dienstverlening. Maar toch ook omdat het doorgaans niet erg positief op de onderneming of de instelling afstraalt als bekend wordt dat door een hack veel gegevens op straat zijn komen te liggen.

Des te opmerkelijker is dat het aanleggen van een adequaat niveau van beveiliging in de contractspraktijk tussen de leveranciers van IT-diensten en hun afnemers vaak zo weinig aandacht krijgt. En dat is zonde. Een sprekend voorbeeld maakte ik enige tijd geleden mee. Ik werd benaderd door een instelling die samen met een aantal andere instellingen een prachtige website had laten bouwen waarmee klantgegevens konden worden uitgewisseld. Bij een van de samenwerkende instellingen was de website door een ethical hacker gekraakt. De vrijgekomen gegevens werden niet verspreid, maar de schrik zat er goed in. Al helemaal toen bij onderzoek bleek dat het niveau van beveiliging zo laag was dat nagenoeg iedereen zich toegang tot de gegevens kon verschaffen.

In het afgesloten contract was echter helemaal niets opgenomen over een verplichting van de maker van de website (die tevens de hosting voor zijn rekening nam) om te voorzien in een beveiliging. Laat staan dat er iets vermeld stond over het vereiste niveau van beveiliging. Uiteindelijk bleek het niveau van de gerealiseerde beveiliging zo laag dat wij daarin een reden vonden om het contract te beëindigen.

Dat het ook anders kan blijkt uit een uitspraak van de rechtbank in Rotterdam van eind vorig jaar. Daar werden door de leverancier telefonieservers beschikbaar gesteld aan de klant ten behoeve van goedkoop telefoonverkeer. In de onderliggende overeenkomst stond stoer vermeld: “Beveiliging is gegarandeerd.” U voelt hem al aankomen: een hacker verschafte zich toegang tot de telefonieservers en was in staat voor bijna 65.000 euro te verbellen.

Toen de vraag aan de orde kwam wie voor die kosten zou moeten opdraaien oordeelde de rechtbank dat de afgegeven garantie ten aanzien van de beveiliging zo expliciet was dat in beginsel de leverancier de kosten voor het telefoonverkeer diende te dragen.

Dit zijn natuurlijk twee uitersten. In het ene geval was er niets geregeld. In het andere geval was er wel wat geregeld, maar was dat erg ongenuanceerd. Beide gevallen hebben met elkaar gemeen dat er in de contracten geen of weinig aandacht aan het punt van de beveiliging is besteed. Dat kan beter.

Het is beslist verstandig om in IT-contracten een paragraaf te wijden aan beveiliging. Daarin dient in ieder geval te worden vastgelegd wie de verantwoordelijkheid draagt voor de beveiligingsmaatregelen. Als die verantwoordelijkheid duidelijk is belegd, dient daarnaast te worden vastgelegd hoe er beveiligd dient te worden. Hierbij kunnen specifieke technische maatregelen worden benoemd of kan verwezen worden naar bepaalde minimumstandaarden. Daarbij kunnen bijvoorbeeld ISO 17799 of – specifiek voor de zorg – NEN 7510 als inspiratiebron dienen.

Twee zaken mogen echter niet uit het oog worden verloren: ten eerste dat het begrip adequate beveiliging een dynamische norm is waarvan de inhoud steeds aangepast dient te worden aan de tijd en de technische ontwikkelingen. En ten tweede dat een volledig waterdichte beveiliging een illusie is. “Beveiliging is gegarandeerd” zou ik om die reden niet snel durven opschrijven.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!