Beheer

Juridische zaken
Beperk je aansprakelijkheidsrisico’s

Beperk je aansprakelijkheidsrisico’s

ICT-leveranciers hebben een zorgplicht naar hun klant. Zeven tips om aansprakelijkheidsrisico's te beperken.

© Shutterstock
5 augustus 2020

Automatiseerders wacht stortvloed aan claims om schade door hackers, zo kopte het FD in juni. De aanleiding? Een oordeel van een rechter dat een ICT-leverancier wegens tekortschietende beveiliging bij zijn klant aansprakelijk was voor de gevolgen van een ransomware-aanval. Deze uitspraak kan grote gevolgen hebben voor de zorgplicht en aansprakelijkheidsrisico’s van ICT-bedrijven. Wat te doen om risico’s te beperken?

De gerechtelijke uitspraak dateerde uit 2018, maar werd onlangs pas gepubliceerd. Het betrof een zaak waarbij een ICT-bedrijf zijn klant, een klein administratiekantoor, had geadviseerd om aanvullende beveiligingsmaatregelen te nemen, zoals een firewall en back-ups op losse harde schijven. De klant weigerde deze maatregelen vanwege de kosten; dit werd echter niet schriftelijk vastgelegd. Het netwerk werd opgeleverd zonder firewall en externe back-up.

Later werd het administratiekantoor getroffen door een ransomware-aanval; het moest enkele duizenden euro’s in bitcoins betalen om weer toegang te krijgen tot zijn bestanden. De rechter oordeelde dat de ICT-leverancier aansprakelijk was: deze had zijn klant explicieter moeten waarschuwen voor de risico's of de opdracht zelfs terug moeten geven vanwege onuitvoerbaarheid. Het ICT-bedrijf moest dan ook het grootste deel van de schade als gevolg van de ransomware-aanval vergoeden.

Wat kunnen ICT-bedrijven doen om hun aansprakelijkheidsrisico’s te beperken? 7 Tips:

  1. Bied altijd het hoogst mogelijke niveau van beveiliging en redundantie aan
    Denk ook aan data recovery plans en business continuity plans. Deze maatregel is voor ieder ICT-bedrijf van belang, maar zeker voor ICT-dienstverleners zoals SaaS-providers en MSSP’s, die volledig verantwoordelijk zijn voor alles wat er gebeurt.   
  2. Houd rekening met het kennisniveau van je klanten
    Dit heeft gevolgen voor jouw zorgplicht als ICT-bedrijf. Heeft het bedrijf bijvoorbeeld zelf een IT-specialist in dienst?  
  3. Waarschuw voor de gevolgen van niet implementeren van belangrijke beveiligingsmaatregelen
    Leg het schriftelijk vast als een klant belangrijke geadviseerde beveiligingsmaatregelen niet wil implementeren. Doe dit niet alleen voor de start van een project, maar herhaaldelijk.
  4. Overweeg het contract te weigeren
    Blijkt het minimale beveiligingsniveau niet haalbaar? Overweeg het contract te weigeren.   
  5. Kijk goed naar je contracten
    Zorg voor een volledig en helder contract, met daarin afspraken over bijvoorbeeld beveiligingsniveau, oplevertijd, intellectueel eigendom en aansprakelijkheid. Schakel een deskundige jurist in voor algemene leveringsvoorwaarden. Zie ook: Uit de schadepraktijk: acht tips voor IT-bedrijven.
  6. Onderhandel over garantieafspraken, vrijwarings- en schadeloosstellingsbedingen
    Een aantal van deze zaken zal niet gedekt zijn onder een aansprakelijkheidsverzekering. Ook kleine ondernemingen kunnen onderhandelen over gunstigere leveringsvoorwaarden, zelfs met grote opdrachtgevers.
  7. Maak duidelijk voor welke omgevingen jouw diensten geschikt zijn
    Informeer je klanten duidelijk voor welke omgevingen jouw platform of diensten geschikt zijn en welk type gegevens en applicaties wel én niet verwerkt mogen worden.

Hiernaast is het natuurlijk essentieel om je (beroeps)aansprakelijkheidsrisico’s in kaart te brengen en in overleg met een interne expert of externe juridisch adviseur, financieel adviseur of verzekeraar te bekijken welke maatregelen je kunt nemen om deze te beperken. Voer daarnaast ook voor ieder project een risicoanalyse uit (welke beveiligings- en aansprakelijkheidsrisico’s zijn er en wat zou het minimale beveiligingsniveau moeten zijn?).

Reactie toevoegen
1
Reacties
P.J. Westerhof LL.M MIM 09 augustus 2020 01:00

Aan te raden is om vooral ook het vonnis even goed te lezen.
Het vonnis roept nl. een aantal vragen op.

Het gaat - nota bene! - om een administratiekantoor dat diensten verricht op het gebied van IT en automatisering (2.1).
Partijen hebben geen afspraken op schrift gesteld (2.3). Onduidelijk is of dit ook geldt voor de opdracht die het administratiekantoor stelt te hebben gegeven om een nieuwe en volledige IT-infrastructuur aan te leggen, te beheren en te onderhouden (3.2).
Kennelijk werden de beheer- en onderhoudswerkzaamheden door het systeemhuis op afroep verzorgd (4.1).

Onduidelijk blijft daarmee welke verantwoordelijkheid - en dus aansprakelijkheid - geldt voor welke ITIL-processen.
Uit het vonnis wordt niet duidelijk waarom een 'remote desktop' mogelijk was noch waarom op dit punt geen (beveiligings-)maatregelen waren getroffen.

Het administratiekantoor stelt om te gaan met gevoelige gegevens (4.2). Hiermee komt náást de IT-governance de aandacht nog sterker te liggen op AVG-compliance.
Onduidelijk hierbij is welke rol het administratiekantoor hier had, die van verwerkingsverantwoordelijke of die van gegevensverwerker. Onduidelijk is tevens of het administratiekantoor beschikte over privacybeleid en een privacyreglement.
Indien het administratiekantoor inderdaad omging met 'gevoelige gegevens' dan gelden ten aanzien daarvan zwaardere eisen.
Het administratiekantoor blijft steeds verantwoordelijk voor de adequate beveiliging van persoonsgegevens waarmee het werkt, hetzij als verwerkingsverantwoordelijke hetzij als gegevensverwerker. Het niet afsluiten van een 'verwerkersovereenkomst' tussen Verwerkingsverantwoordelijken en Verwerker bekent voor beide partijen een overtreding van de AVG.

In case is sprake van een 'hack' oftewel 'computervredebreuk' in de zin van art. 138a van het Wetboek van Strafrecht. Nl. 'opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan'. Voor dat 'binnendringen' is vereist dat sprake is van een 'adequate beveiliging'.
Diezelfde beveiligingseis stelt ook de AVG ten aanzien van de beveiliging van persoonsgegevens.
In beide gevallen wordt hiermee gedoeld op 'passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek'.
Onduidelijk is of bij de beveiliging van de remote desktop aandacht is besteed aan het beveiligingsadvies terzake door het NCSC. Vergelijkbaars geldt ten aanzien van de richtlijnen van de Autoriteit Persoonsgegevens.
Het beveiligingsbewustzijn bij het administratiekantoor zoals blijkt uit het vonnis (4.3) doet het ergste vrezen.

De tegenstrijdigheid tussen 4.3 en 4.4 is de rechtbank kennelijk niet opgevallen, hoewel 4.5 wederom een poging tot herstel lijkt.

Men kan zich zodoende afvragen of het systeemhuis een 'behoorlijk handelend vakbekwaam IT-deskundige' is. De rechtbank oordeelt - naar mijn mening terecht -van niet.
Men kan zich echter temeer afvragen of het administratiekantoor een 'behoorlijk handelend vakbekwaam dienstverlener' is. Iets waarop het systeemhuis ook, tevergeefs, wijst (4.3).
Opvallend daarbij is overigens dat het vonnis spreekt van 'terrabites' in plaats van terabytes (4.12). Hier blijkt ook de rechtbank in het stof te bijten.

Samengevat.
Opdrachtgevers én systeemhuizen doen er goed aan een duidelijke splitsing aan te brengen tussen opdracht tot aanleg en beheer/onderhoud i.c. Service Level Agreement.
Opdrachtnemers doen er goed aan afspraken volledig en nauwkeurig op papier te zetten, en ingeval van klantwensen onder 'best practices' niveau deze nadrukkelijk uit te sluiten van aansprakelijkheid. Of beter nog, de opdracht te weigeren of te beëindigen.

Echter : het zijn vooral de klanten van dit administratiekantoor die - gelet op bovenstaande governance en compliance perikelen - er goed aan doen hun contracten eens zorgvuldig tegen het licht te houden.