Zorgen om schadeclaims beveiliging na uitspraak rechter zijn onnodig

Recent is een rechtbankuitspraak bekend gemaakt waarin een ICT-leverancier voor een aanzienlijk (tweederde) deel verantwoordelijk is gesteld voor schade door gijzelsoftware bij zijn klant. De rechtbank oordeelde dat de beveiliging tekortschoot, media voorspellen in de sector een golf aan schadeclaims. NLdigital vindt het onterecht dat deze uitspraak wordt veralgemeniseerd naar de rest van de sector. Wij benadrukken dat deze casus op zichzelf staat en de angst die momenteel wordt ingeboezemd niet terecht is.

Over de rechtszaak

Inge Bremmer, jurist bij NLdigital, legt uit dat uit deze uitspraak blijkt dat het in het begin van de samenwerking al mis ging. Klant en leverancier legden hun afspraken niet vast en de rechter moest daardoor eerst de mondelinge afspraken van partijen interpreteren. Bremmer: “De rechter oordeelde in deze zaak dat onderdeel van de mondelinge opdracht aan de IT-beheerder was: het aanleggen van adequate beveiliging. De IT-beheerder lijkt dat ook te erkennen, maar verweert zich door te zeggen dat klant dit verhinderde. Al bij aanvang van de opdracht zou klant hebben aangegeven de firewall te duur en de roulerende back-ups te ingewikkeld te vinden. Onder deze omstandigheden was het volgens de rechter aan de leverancier om ofwel de opdracht te weigeren wegens onuitvoerbaarheid, ofwel alternatieven aan te dragen ofwel op zijn minst indringend en herhaaldelijk te waarschuwen voor risico’s van het niet hebben van een firewall en back-up.” Bremmer vervolgt: “Ik lees in deze uitspraak dat de leverancier een opdracht aannam tot ‘adequate beveiliging’ en, zelf erkende dat onderdeel daarvan is een firewall en back-up en dat hij die hij niet invoerde. Een opdracht aannemen en niet uitvoeren is een vrij klassiek geval van wanprestatie. Dat de leverancier gedeeltelijk verantwoordelijk wordt gehouden voor de schade van het doorbreken van de beveiliging is dan niet geheel onbegrijpelijk. Er waren geen algemene voorwaarden van toepassing en dus ook geen beperking van aansprakelijkheid.”

Casus staat op zichzelf

De uitspraak is dus niet automatisch van toepassing op alle overeenkomsten tussen klanten en ICT-leveranciers. “De rechter benadrukt expliciet dat het aan de klant is om aan te tonen dat de opdracht óók zag op het aanleggen van adequate beveiliging. Dat is de klant in dit geval gelukt. Deze zaak had mogelijk anders gelopen als leverancier en klant vooraf duidelijke afspraken hadden gemaakt, bijvoorbeeld over welke beveiligingsmaatregelen de leverancier dan wél zou nemen en de leverancier dan de overeengekomen beveiligingsmaatregelen vervolgens zou hebben getroffen. De rechter noemt dit ‘alternatieven’ die de leverancier had kunnen aandragen. Kennelijk had dat zelfs ook later nog gemogen, maar er is later vrijwel nooit meer over gesproken. De leverancier heeft de maatregelen die hij had moeten treffen niet getroffen, hij is niet in gesprek gegaan over alternatieven en heeft de klant ook niet gewaarschuwd over de risico’s.” Kortom: deze casus is één op zichzelf staande situatie waarin een leverancier zijn opdracht niet voldoende uitvoerde en afspraken niet goed vastlegde. Als NLdigital zetten wij ons al jarenlang in om dit type fouten te voorkomen aan zowel klant- als leverancierskant.

Afspraken vastleggen

De afgelopen week namen diverse leden naar aanleiding van deze uitspraak contact op met de branchevereniging. Veel van hen schetsten de situatie waarin een klant geen beveiliging wil afnemen, of geen budget heeft om dat te doen. Inge Bremmer, jurist bij NLdigital: “Wij adviseren onze leden om te allen tijde in gesprek te blijven met hun klanten. Benadruk dat beveiliging een onmisbaar onderdeel is van de geleverde dienst. Wil of kan de klant dit niet afnemen? Leg dit dan vast, bijvoorbeeld in een e-mail of spreek in je overeenkomst af dat klant dit onderdeel van de beveiliging zelf regelt. Op die manier kun je, bijvoorbeeld bij een claim, bewijzen dat het niet afnemen van beveiliging een keuze van de klant was.”

Gedeelde verantwoordelijkheid

Bremmer: “Het risico van het uitvergroten van een uitspraak als deze, is dat het mogelijk in de toekomst de klant en leverancier tegenover elkaar plaatst. Terwijl beiden geen baat hebben bij een incompleet of minder goed product. Het voorkomen van een cyberaanval is en blijft namelijk een gedeelde verantwoordelijkheid. De expert moet met een passend advies komen en de klant moet zich ervan bewust zijn dat hier bij hen een budget en inspanningsverplichting liggen.” Dit standpunt is niet nieuw. In 2017 werkte NLdigital al mee aan een handreiking van de Cyber Security Raad. In deze Raad, waar publieke en private organisaties met de wetenschap op een strategisch niveau de Nederlandse regering adviseert, heeft ons bestuurslid Joost Farwerck (CEO KPN) een zetel. In de handreiking werd benadrukt dat leveranciers een zorgplicht hebben naar hun klanten. Die handreiking is, in deze tijd waarin steeds meer bedrijven en publieke instellingen door COVID-19 versneld digitaliseren en daarmee de afhankelijkheid van digitale systemen toeneemt, nog steeds zeer relevant.

10% regel

Naast de handreiking door de CSR, spreekt NLdigital zich al jarenlang uit voor meer investeringen in informatiebeveiliging. Ondernemingen moeten zich beseffen dat goede beveiliging geld kost, en 10% van het totale IT-budget als norm nemen. Wel moeten zij zich beseffen dat goede beveiliging moet passen bij de aard en de activiteiten van de onderneming. Voor elke onderneming kan dat anders zijn. De onderneming moet zelf goed nadenken over de risico’s en goede afspraken maken met de leveranciers. Bremmer: “Het beschikbaar stellen van budget is niet genoeg. De gebruiker is namelijk vaak de zwakste schakel. Beveiliging heeft vooral zin als de eindgebruiker hiermee goed weet om te gaan. In de recente uitspraak wordt dit punt ook uitgelicht. De klant wilde liever geen ingewikkelde wachtwoorden gebruiken en creëerde zo een zwak punt in het systeem. Voor de schade die daardoor ontstond moest de klant zelf opdraaien volgens de rechter.”

Professionalisering sector

Wij zetten ons doorlopend in om onze sector verder te professionaliseren en daarvoor bieden we diverse handvatten aan onze leden. Een overzicht:

Wil jij meepraten?

Bij NLdigital zijn leden met interesse in informatiebeveiliging verenigd in de commissie cybersecurity waar actuele ontwikkelingen, nieuw wet- en regelgeving en andere interessante marktontwikkelingen worden besproken. Leden van de vereniging zijn van harte welkom zich aan te sluiten bij de commissie. Heb je vragen naar aanleiding van dit artikel? Neem dan contact op via 0348-49 36 36 of info@nldigital.nl.


Deel via:

Het laatste nieuws

NLdigital roept AP op om handreiking over scraping te schrappen en pleit voor duidelijkheid over het kunnen gebruiken van persoonsgegevens voor AI-modellen 

Er gebeurt een hoop rondom artificial intelligence in privacy-land. Zo heeft de Autoriteit Persoonsgegevens (AP) onder andere een handreiking gepubliceerd...
Politiek & wetgeving

CRA gepubliceerd: cybersecurity vereisten voor alle hard- en software

De langverwachte Cyber Resilience Act (CRA) is vandaag officieel gepubliceerd in het Publicatieblad van de Europese Unie. Hiermee wordt deze...
Cybersecurity

NLdigital pleit samen met partners voor heroverweging EU-aanpak online kindermisbruik

NLdigital pleit samen met partners voor heroverweging EU-aanpak online kindermisbruik
Politiek & wetgeving

‘Alleen met sterke purpose en optimistische boodschap trek je toekomstig talent aan’

Hoe blijf je als technologieleider aantrekkelijk voor talent in een steeds krapper wordende arbeidsmarkt? Jeannine Peek, directeur van Capgemini en...
Opleiding & arbeidsmarkt

Uitvoeringshandelingen EU geven duidelijkheid over NIS2 meldplicht en zorgplicht voor digitale sector

Terwijl de NIS2 in Nederland uitgesteld is tot het derde kwartaal van 2025 lopen de ontwikkelingen rondom de wet door....
Cybersecurity