Beperk je aansprakelijkheidsrisico’s
De gerechtelijke uitspraak dateerde uit 2018, maar werd onlangs pas gepubliceerd. Het betrof een zaak waarbij een ICT-bedrijf zijn klant, een klein administratiekantoor, had geadviseerd om aanvullende beveiligingsmaatregelen te nemen, zoals een firewall en back-ups op losse harde schijven. De klant weigerde deze maatregelen vanwege de kosten; dit werd echter niet schriftelijk vastgelegd. Het netwerk werd opgeleverd zonder firewall en externe back-up.
Later werd het administratiekantoor getroffen door een ransomware-aanval; het moest enkele duizenden euro’s in bitcoins betalen om weer toegang te krijgen tot zijn bestanden. De rechter oordeelde dat de ICT-leverancier aansprakelijk was: deze had zijn klant explicieter moeten waarschuwen voor de risico's of de opdracht zelfs terug moeten geven vanwege onuitvoerbaarheid. Het ICT-bedrijf moest dan ook het grootste deel van de schade als gevolg van de ransomware-aanval vergoeden.
Wat kunnen ICT-bedrijven doen om hun aansprakelijkheidsrisico’s te beperken? 7 Tips:
- Bied altijd het hoogst mogelijke niveau van beveiliging en redundantie aan Denk ook aan data recovery plans en business continuity plans. Deze maatregel is voor ieder ICT-bedrijf van belang, maar zeker voor ICT-dienstverleners zoals SaaS-providers en MSSP’s, die volledig verantwoordelijk zijn voor alles wat er gebeurt.
- Houd rekening met het kennisniveau van je klanten Dit heeft gevolgen voor jouw zorgplicht als ICT-bedrijf. Heeft het bedrijf bijvoorbeeld zelf een IT-specialist in dienst?
- Waarschuw voor de gevolgen van niet implementeren van belangrijke beveiligingsmaatregelen Leg het schriftelijk vast als een klant belangrijke geadviseerde beveiligingsmaatregelen niet wil implementeren. Doe dit niet alleen voor de start van een project, maar herhaaldelijk.
- Overweeg het contract te weigeren Blijkt het minimale beveiligingsniveau niet haalbaar? Overweeg het contract te weigeren.
- Kijk goed naar je contracten Zorg voor een volledig en helder contract, met daarin afspraken over bijvoorbeeld beveiligingsniveau, oplevertijd, intellectueel eigendom en aansprakelijkheid. Schakel een deskundige jurist in voor algemene leveringsvoorwaarden. Zie ook: Uit de schadepraktijk: acht tips voor IT-bedrijven.
- Onderhandel over garantieafspraken, vrijwarings- en schadeloosstellingsbedingen Een aantal van deze zaken zal niet gedekt zijn onder een aansprakelijkheidsverzekering. Ook kleine ondernemingen kunnen onderhandelen over gunstigere leveringsvoorwaarden, zelfs met grote opdrachtgevers.
- Maak duidelijk voor welke omgevingen jouw diensten geschikt zijn Informeer je klanten duidelijk voor welke omgevingen jouw platform of diensten geschikt zijn en welk type gegevens en applicaties wel én niet verwerkt mogen worden.
Hiernaast is het natuurlijk essentieel om je (beroeps)aansprakelijkheidsrisico’s in kaart te brengen en in overleg met een interne expert of externe juridisch adviseur, financieel adviseur of verzekeraar te bekijken welke maatregelen je kunt nemen om deze te beperken. Voer daarnaast ook voor ieder project een risicoanalyse uit (welke beveiligings- en aansprakelijkheidsrisico’s zijn er en wat zou het minimale beveiligingsniveau moeten zijn?).
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee