Zorgen om schadeclaims beveiliging na uitspraak rechter zijn onnodig
Recent is een rechtbankuitspraak bekend gemaakt waarin een ICT-leverancier voor een aanzienlijk (tweederde) deel verantwoordelijk is gesteld voor schade door gijzelsoftware bij zijn klant. De rechtbank oordeelde dat de beveiliging tekortschoot, media voorspellen in de sector een golf aan schadeclaims. NLdigital vindt het onterecht dat deze uitspraak wordt veralgemeniseerd naar de rest van de sector. Wij benadrukken dat deze casus op zichzelf staat en de angst die momenteel wordt ingeboezemd niet terecht is.
Over de rechtszaak
Inge Bremmer, jurist bij NLdigital, legt uit dat uit deze uitspraak blijkt dat het in het begin van de samenwerking al mis ging. Klant en leverancier legden hun afspraken niet vast en de rechter moest daardoor eerst de mondelinge afspraken van partijen interpreteren. Bremmer: “De rechter oordeelde in deze zaak dat onderdeel van de mondelinge opdracht aan de IT-beheerder was: het aanleggen van adequate beveiliging. De IT-beheerder lijkt dat ook te erkennen, maar verweert zich door te zeggen dat klant dit verhinderde. Al bij aanvang van de opdracht zou klant hebben aangegeven de firewall te duur en de roulerende back-ups te ingewikkeld te vinden. Onder deze omstandigheden was het volgens de rechter aan de leverancier om ofwel de opdracht te weigeren wegens onuitvoerbaarheid, ofwel alternatieven aan te dragen ofwel op zijn minst indringend en herhaaldelijk te waarschuwen voor risico’s van het niet hebben van een firewall en back-up.” Bremmer vervolgt: “Ik lees in deze uitspraak dat de leverancier een opdracht aannam tot ‘adequate beveiliging’ en, zelf erkende dat onderdeel daarvan is een firewall en back-up en dat hij die hij niet invoerde. Een opdracht aannemen en niet uitvoeren is een vrij klassiek geval van wanprestatie. Dat de leverancier gedeeltelijk verantwoordelijk wordt gehouden voor de schade van het doorbreken van de beveiliging is dan niet geheel onbegrijpelijk. Er waren geen algemene voorwaarden van toepassing en dus ook geen beperking van aansprakelijkheid.”
Casus staat op zichzelf
De uitspraak is dus niet automatisch van toepassing op alle overeenkomsten tussen klanten en ICT-leveranciers. “De rechter benadrukt expliciet dat het aan de klant is om aan te tonen dat de opdracht óók zag op het aanleggen van adequate beveiliging. Dat is de klant in dit geval gelukt. Deze zaak had mogelijk anders gelopen als leverancier en klant vooraf duidelijke afspraken hadden gemaakt, bijvoorbeeld over welke beveiligingsmaatregelen de leverancier dan wél zou nemen en de leverancier dan de overeengekomen beveiligingsmaatregelen vervolgens zou hebben getroffen. De rechter noemt dit ‘alternatieven’ die de leverancier had kunnen aandragen. Kennelijk had dat zelfs ook later nog gemogen, maar er is later vrijwel nooit meer over gesproken. De leverancier heeft de maatregelen die hij had moeten treffen niet getroffen, hij is niet in gesprek gegaan over alternatieven en heeft de klant ook niet gewaarschuwd over de risico’s.” Kortom: deze casus is één op zichzelf staande situatie waarin een leverancier zijn opdracht niet voldoende uitvoerde en afspraken niet goed vastlegde. Als NLdigital zetten wij ons al jarenlang in om dit type fouten te voorkomen aan zowel klant- als leverancierskant.
Afspraken vastleggen
De afgelopen week namen diverse leden naar aanleiding van deze uitspraak contact op met de branchevereniging. Veel van hen schetsten de situatie waarin een klant geen beveiliging wil afnemen, of geen budget heeft om dat te doen. Inge Bremmer, jurist bij NLdigital: “Wij adviseren onze leden om te allen tijde in gesprek te blijven met hun klanten. Benadruk dat beveiliging een onmisbaar onderdeel is van de geleverde dienst. Wil of kan de klant dit niet afnemen? Leg dit dan vast, bijvoorbeeld in een e-mail of spreek in je overeenkomst af dat klant dit onderdeel van de beveiliging zelf regelt. Op die manier kun je, bijvoorbeeld bij een claim, bewijzen dat het niet afnemen van beveiliging een keuze van de klant was.”
Gedeelde verantwoordelijkheid
Bremmer: “Het risico van het uitvergroten van een uitspraak als deze, is dat het mogelijk in de toekomst de klant en leverancier tegenover elkaar plaatst. Terwijl beiden geen baat hebben bij een incompleet of minder goed product. Het voorkomen van een cyberaanval is en blijft namelijk een gedeelde verantwoordelijkheid. De expert moet met een passend advies komen en de klant moet zich ervan bewust zijn dat hier bij hen een budget en inspanningsverplichting liggen.” Dit standpunt is niet nieuw. In 2017 werkte NLdigital al mee aan een handreiking van de Cyber Security Raad. In deze Raad, waar publieke en private organisaties met de wetenschap op een strategisch niveau de Nederlandse regering adviseert, heeft ons bestuurslid Joost Farwerck (CEO KPN) een zetel. In de handreiking werd benadrukt dat leveranciers een zorgplicht hebben naar hun klanten. Die handreiking is, in deze tijd waarin steeds meer bedrijven en publieke instellingen door COVID-19 versneld digitaliseren en daarmee de afhankelijkheid van digitale systemen toeneemt, nog steeds zeer relevant.
10% regel
Naast de handreiking door de CSR, spreekt NLdigital zich al jarenlang uit voor meer investeringen in informatiebeveiliging. Ondernemingen moeten zich beseffen dat goede beveiliging geld kost, en 10% van het totale IT-budget als norm nemen. Wel moeten zij zich beseffen dat goede beveiliging moet passen bij de aard en de activiteiten van de onderneming. Voor elke onderneming kan dat anders zijn. De onderneming moet zelf goed nadenken over de risico’s en goede afspraken maken met de leveranciers. Bremmer: “Het beschikbaar stellen van budget is niet genoeg. De gebruiker is namelijk vaak de zwakste schakel. Beveiliging heeft vooral zin als de eindgebruiker hiermee goed weet om te gaan. In de recente uitspraak wordt dit punt ook uitgelicht. De klant wilde liever geen ingewikkelde wachtwoorden gebruiken en creëerde zo een zwak punt in het systeem. Voor de schade die daardoor ontstond moest de klant zelf opdraaien volgens de rechter.”
Professionalisering sector
Wij zetten ons doorlopend in om onze sector verder te professionaliseren en daarvoor bieden we diverse handvatten aan onze leden. Een overzicht:
- NLdigital heeft in samenwerking met haar leden de Data Pro Code ontwikkeld: een concrete invulling van de eisen van de Avg. Deze gedragscode is specifiek voor verwerkers (data processors). Dit zijn ICT-bedrijven die in opdracht van een ander data verwerken. De code gaat ook in op de eisen die worden gesteld aan veiligheid van data en heeft transparantie tussen klant en leverancier als een van de uitgangspunten.
- NLdigital heeft zich sterk gemaakt voor de oprichting van het Digital Trust Center in 2018. Dit onderdeel van het ministerie van Economische Zaken is opgericht om de 1,8 mln bedrijven in Nederland te helpen bij het vergroten van hun digitale weerbaarheid. Het DTC adviseert bijvoorbeeld over welke 5 minimale beveiligingsmaatregelen minimaal genomen moeten worden.
- NLdigital is betrokken bij de totstandkoming van een nieuw risicomodel voor MKB bedrijven en een keurmerk voor cybersecurity-dienstverleners. Het risicomodel en het keurmerk wordt ontwikkelt door het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) in opdracht van de ministeries EZK en JenV. Het model geeft advies over welke beveiligingsmaatregelen horen bij welk risico met een focus op continuïteit van de onderneming. Bovendien geeft het advies over wie de beveiligingsmaatregelen het beste kan uitvoeren. Het bedrijf zelf, de leverancier of in gezamenlijkheid. De resultaten van dit project worden eind 2020 openbaar.
- NLdigital denkt mee over inkoopcriteria van de overheid zoals bijvoorbeeld de Baseline informatiebeveiliging overheid.
Wil jij meepraten?
Bij NLdigital zijn leden met interesse in informatiebeveiliging verenigd in de commissie cybersecurity waar actuele ontwikkelingen, nieuw wet- en regelgeving en andere interessante marktontwikkelingen worden besproken. Leden van de vereniging zijn van harte welkom zich aan te sluiten bij de commissie. Heb je vragen naar aanleiding van dit artikel? Neem dan contact op via 0348-49 36 36 of info@nldigital.nl.