Mes aansprakelijkheidsregime bot bij cybersecurityschade

Hacker 2 via Pixabay

Het Nederlandse aansprakelijkheidsrecht biedt onvoldoende mogelijkheden biedt om in een b2b-relatie cybersecurityschade te verhalen. De conclusie in een studie in opdracht van EZ is dat de juridische en economische barrières vaak te groot zijn om verhaal praktisch mogelijk te maken. De onderzoekers: "Deze barrières zijn:

- De zorgplicht. Schade kan alleen worden verhaald als er een schending is van een ‘norm’. In het geval van aansprakelijkheid voor cybersecurity zijn dit minimumvereisten voor cybersecurity. Deze vereisten zijn bijvoorbeeld in het contract vastgelegd of komen door de aard van de b2b-relatie tot uitdrukking.

- Schade. Uiteraard moet er schade zijn om een mogelijkheid te hebben om deze te verhalen.

- Causaliteit. Er dient een causaal verband te zijn tussen de geschonden norm, in casu de cyberonveiligheid van de leverende partij, en de geleden schade van de afnemende partij.

- Bewijslast. De bewijslast ligt in beginsel bij de partij die de schade wil verhalen tenzij anders overeengekomen. Dit beginsel bemoeilijkt de mogelijkheid om schade te verhalen enorm omdat de afnemende partij niet in de IT-systemen van de leverende partij kan kijken en dus ook niet kan identificeren of de zorgplicht is geschonden en er een causaal verband is tussen de geschonden zorgplicht en de geleden schade.

- Onderhandelingsmacht. Grote partijen sluiten in het algemeen aansprakelijkheid volledig uit en beperken ook hun zorgplicht. Hier valt, in ieder geval in de perceptie van MKB partijen, niet of nauwelijks over te onderhandelen.

- Toegang tot de rechter als de juridische kosten hoog zijn en de succesverwachting laag, bijvoorbeeld in het geval van het halen van verhaal bij een Amerikaanse leverancier.

- Faillissement. De waarde van een claim wordt gemaximeerd door een eventueel faillissement van de leverende partij.

Verzekering

"Concluderend: het mes van het aansprakelijkheidsregime is bot. Zelfs indien beleidsopties worden doorgevoerd blijft de balans houden tussen het stimuleren van verhaalsmogelijkheden en het in stand houden van contractsvrijheid een uitdagende opgave voor de overheid. De vraag is of het aansprakelijkheidsregime in een b2b-relatie een effectief middel is om schade te verhalen en prikkels goed te leggen. Men zou ook alternatieven voor aansprakelijkheidsstelling kunnen onderzoeken en/of stimuleren, zoals het risico afdekken door middel van bijvoorbeeld een cyberverzekering of een risicospreidingsovereenkomst. Voor een afnemende partij kan dat een laagdrempelig alternatief zijn voor aansprakelijkheidsstelling van de leverancier die bemoeilijkt wordt door de grote juridische en economische barrières voor verhaal."

Reactie toevoegen

 
Campagne ‘Dubbel beveiligd is dubbel zo veilig’

Campagne ‘Dubbel beveiligd is dubbel zo veilig’

De Rijksoverheid is de campagne ‘Dubbel beveiligd is dubbel zo veilig’ gestart. Deze campagne wil Nederlanders stimuleren tweestapsverificatie in te...

Cyberincidenten steeds grotere zorg voor bedrijven

Cyberincidenten steeds grotere zorg voor bedrijven

Bedrijfsschade blijft in de beleving van Nederlandse risk management professionals de grootste zorg, volgens de de Allianz Risk Barometer. Cyberincidenten (bijvoorbeeld...

DNB integreert duurzaamheidsrisico's verder in toezicht verzekeraars

DNB integreert duurzaamheidsrisico's verder in toezicht verzekeraars

DNB zal de duurzaamheidrisico’s bij verzekeraars (en pensioenfondsen) verder integreren in het toezicht. Aldus de toezichthouder in 'Toezicht in Beeld 2023'....

Verzekeraars beheersen informatiebeveiligingsrisico's nog steeds onvoldoende

Verzekeraars beheersen informatiebeveiligingsrisico's nog steeds onvoldoende

Uit een DNB-analyse komt naar voren dat 41 procent van de verzekeraars onvoldoende kan aantonen dat hun risk assessments informatiebeveiliging volwassen zijn. Dat...

Meer dan helft bedrijven betaalt losgeld na grote cyberaanval

Meer dan helft bedrijven betaalt losgeld na grote cyberaanval

Het aantal bedrijven dat na een cyberaanval losgeld betaalt, is jaar na jaar gestegen - van tien procent in 2019 naar 54 procent in 2022, gebaseerd op een analyse...

Organisaties vergroten cyberweerbaarheid onder druk verzekeraars

Organisaties vergroten cyberweerbaarheid onder druk verzekeraars

Het bedrijfsleven neemt in vergelijking met eerdere uitkomsten uit 2020 meer maatregelen en is beter voorbereid op de toegenomen cyberdreiging. Dat blijkt uit het...

MKB-keurmerk cyberveiligheid pas over paar jaar

MKB-keurmerk cyberveiligheid pas over paar jaar

Het CCV mag van demissionair minister Adriaansens het MKB-keurmerk cyberveiligheid ontwikkelen waar door de Tweede Kamer is gevraagd. Adriaansens voorziet een ontwikkelingstijd...

Ransomware: losgeld bij kleine bedrijven soms meer dan helft omzet

Ransomware: losgeld bij kleine bedrijven soms meer dan helft omzet

Ruim 2.000 bedrijven met minstens twee werkzame personen zijn in 2021 slachtoffer geworden van afpersing met behulp van gijzelsoftware (ransomware). Gemiddeld betaalde...

Verbond: verbieden losgeldbetaling na cyberaanval niet effectief

Verbond: verbieden losgeldbetaling na cyberaanval niet effectief

Het Verbond van Verzekeraars vindt een verbod op het verzekeren van losgeldbetaling in het kader van cyberrisico’s niet effectief, zeker als dat alleen door...

Beheersing cyberrisico's door banken moet beter

Beheersing cyberrisico's door banken moet beter

De beheersing van cyberrisico’s vraagt op drie gebieden om meer aandacht, aldus DNB. Deze drie gebieden zijn de basis cyberhygiëne-maatregelen, het testen...