ICT-bedrijven kunnen hun aansprakelijkheidsrisico’s zelf beperken

1. 8 september 2020
2. 0 reacties

(door Chubb, Partner VVP) “Automatiseerders wacht stortvloed aan claims om schade door hackers”, zo kopte het FD in juni. De aanleiding? De rechter oordeelde dat een ICT-leverancier wegens tekortschietende beveiliging bij zijn klant aansprakelijk was voor de gevolgen van een ransomware-aanval. Deze uitspraak kan grote gevolgen hebben voor de zorgplicht en aansprakelijkheidsrisico’s van ICT-bedrijven. Heeft u ICT-bedrijven als klant? U kunt hen helpen om hun aansprakelijkheidsrisico’s te beperken.

De gerechtelijke uitspraak dateerde uit 2018, maar werd onlangs pas gepubliceerd. Het betrof een zaak waarbij een ICT-bedrijf zijn klant, een klein administratiekantoor, had geadviseerd om aanvullende beveiligingsmaatregelen te nemen, zoals een firewall en back-ups op losse harde schijven. Volgens het ICT-bedrijf weigerde de klant deze maatregelen vanwege de kosten; dit werd echter niet schriftelijk vastgelegd. Uiteindelijk werd het netwerk opgeleverd zonder firewall en externe back-up.

Niet naar behoren uitgevoerd

Later werd het administratiekantoor getroffen door een ransomware-aanval; het moest enkele duizenden euro’s in bitcoins betalen om weer toegang te krijgen tot zijn bestanden. De rechter oordeelde dat de ICT-leverancier aansprakelijk was: deze had zijn klant explicieter moeten waarschuwen voor de risico's of de opdracht zelfs terug moeten geven vanwege onuitvoerbaarheid. “Door het netwerk aan te leggen zonder firewall en zonder externe back-ups, heeft [gedaagde] deze opdracht niet naar behoren uitgevoerd”, aldus de rechter. Het ICT-bedrijf moest dan ook het grootste deel van de schade als gevolg van de ransomware-aanval vergoeden.

Ransomware neemt toe

Het aantal ransomware-aanvallen groeit nog steeds en ze gaan om steeds meer geld: het losgeld dat wordt geëist kan ondertussen oplopen tot bedragen met vijf of zes nullen.

Uit The BlackBerry Cylance 2020 Threat Report blijkt dat cybercriminelen het steeds vaker gemunt hebben op een specifieke groep ICT-dienstverleners, zoals Software-as-a-Service (SaaS) providers en Managed Security Service Providers (MSSP’s). “Dit is een zorgwekkende ontwikkeling, maar niet verrassend”, aldus Wouter Wissink, Principal Cyber Risk Engineer bij Chubb. “Als cybercriminelen erin slagen binnen te dringen bij dit type ICT-dienstverleners, treffen zij meerdere bedrijven tegelijk.”

Zorgplicht ICT-bedrijven

Dit is de eerste keer dat een ICT-dienstverlener door een Nederlandse rechter aansprakelijk is gesteld voor de schade van een ransomware-aanval bij een derde partij. Barry Schütte, Manager Pro ICT Benelux bij Chubb: “Deze uitspraak kan grote gevolgen hebben voor de zorgplicht en aansprakelijkheidsrisico’s van ICT-bedrijven, al wordt dat momenteel ter discussie gesteld door onder andere brancheorganisaties NLdigital en ICTWaarborg.”

Wissink: “In Nederland verzekert Chubb al drie decennia lang de aansprakelijkheidsrisico’s van ICT-bedrijven en in het verleden heeft zich een vergelijkbare ontwikkeling voorgedaan bij het te laat opleveren van ICT-projecten en de beschikbaarheid van ICT-platforms: in die gevallen is de zorgplicht en aansprakelijkheid van ICT-bedrijven toegenomen. Het is belangrijk dat een ICT-bedrijf maatregelen neemt om de aansprakelijkheidsrisico’s te beperken.”

“Dit kan bijdragen aan het voorkomen van eventuele claims” voegt Schütte toe. “Die leiden ongeacht de uitkomst tot juridische kosten en komen de relatie van een ICT-bedrijf met zijn klant niet ten goede. Schriftelijk vastleggen van alle afspraken ligt voor de hand, maar er zijn meer maatregelen die een ICT-bedrijf kan nemen om de aansprakelijkheidsrisico’s te beperken en die u bij uw klanten onder de aandacht kunt brengen.”

Tien maatregelen

Heeft u ICT-bedrijven als klant? Tien maatregelen waarmee ze de aansprakelijkheidsrisico’s kunnen beperken

1. Het hoogst mogelijke niveau van beveiliging en redundantie aanbieden
   Een ICT-bedrijf dient altijd het hoogst mogelijke niveau van beveiliging en redundantie aan te bieden en ook te denken aan data recovery en business continuity Deze maatregel is voor ieder ICT-bedrijf van belang, maar zeker voor ICT-dienstverleners zoals SaaS-providers en MSSP’s: zij zijn volledig verantwoordelijk voor alles wat er gebeurt, tot en met het niveau van het platform.
2. Voor ieder project een risicoanalyse uitvoeren
   Een ICT-bedrijf dient voor elk project een risicoanalyse uit te voeren. Welke beveiligings- en aansprakelijkheidsrisico’s zijn verbonden aan dit project en wat zou het minimale beveiligingsniveau moeten zijn?
3. Rekening houden met het ‘kennisniveau’ van klanten
   Het kennisniveau van zijn opdrachtgevers heeft gevolgen voor de zorgplicht van uw klant. Van grote bedrijven of banken mag verwacht worden dat zij zelf specialisten in dienst hebben en daarmee een hoger kennisniveau hebben dan een middelgroot of klein bedrijf zonder IT-specialist in dienst.
4. Waarschuwen voor de gevolgen van het niet implementeren van belangrijke beveiligingsmaatregelen
   Uw klant zou dit schriftelijk en herhaaldelijk moeten doen, dus niet alleen voor de start van een project. Ook is het belangrijk dat uw klant schriftelijk vastlegt dat zijn opdrachtgever belangrijke beveiligingsmaatregelen ondanks alle waarschuwingen niet wil implementeren.
5. Overwegen het contract te weigeren
   Uw klant dient het dus schriftelijk vast te leggen dat zijn opdrachtgever belangrijke beveiligingsmaatregelen ondanks alle waarschuwingen niet wil implementeren, maar zou ook moeten overwegen om het contract te weigeren – zeker als het minimale beveiligingsniveau niet haalbaar blijkt.
6. Goed naar contracten kijken
   Een goede samenwerking begint met een volledig en helder contract, met daarin afspraken over bijvoorbeeld beveiligingsniveau, oplevertijd, intellectueel eigendom en aansprakelijkheid. Uw klant doet er verstandig aan om een deskundige jurist in te schakelen voor het opstellen van algemene leveringsvoorwaarden. Zie ook: Uit de schadepraktijk: acht tips voor IT-bedrijven.
7. Onderhandelen over garantieafspraken, vrijwarings- en schadeloosstellingsbedingen
   Een aantal van deze zaken zal niet gedekt zijn onder een aansprakelijkheidsverzekering, waardoor uw klant het risico geheel zelf moet dragen. Ook voor kleine ondernemingen geldt dat ze kunnen onderhandelen over gunstigere leveringsvoorwaarden. Zelfs met grote opdrachtgevers.
8. Duidelijk maken voor welke omgevingen de diensten geschikt zijn
   Als uw klant levert aan andere IT-bedrijven weet uw klant niet altijd wat voor soort opdrachtgevers, applicaties en data gebruik maken van zijn diensten/producten. In dat geval is het heel belangrijk dat uw klant zijn opdrachtgever duidelijk informeert voor welke omgevingen het platform of de diensten geschikt zijn, en welk type gegevens en applicaties wel én niet verwerkt mogen worden.
9. (Beroeps)aansprakelijkheidsrisico’s in kaart brengen
   Samen met de interne experts van uw klant of een juridisch adviseur en met de verzekeraar kunt u kijken naar welke maatregelen uw klant zelf kan nemen om deze risico’s te beperken.
10. Voor een goede verzekering kiezen
    Uw klant doet er verstandig aan te kiezen voor een verzekering die zowel beroepsaansprakelijkheid, bedrijfsaansprakelijkheid als cyberrisico’s dekt. Let er daarbij op dat deze is toegespitst op de specifieke risico's van een ICT-onderneming.

Partner van dit artikel

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Meer over

• chubb
• Partner VVP