Cyberaanvallen komen steeds vaker voor en leiden ook steeds vaker tot juridische claims. Het is echter zeldzaam dat cybercriminelen worden opgespoord en ter verantwoording worden geroepen. Aan de andere kant worden IT-professionals steeds vaker bekritiseerd omdat zij mogelijk niet hebben voldaan aan hun ‘zorgplicht’. Dit vergroot het risico op aansprakelijkheid voor IT-serviceproviders wanneer hun klanten het slachtoffer worden van een cyberaanval.
Hoe beperk je, als IT-leverancier, nou je aansprakelijkheid in dit verband? In deze blog bespreken we een aantal aandachtspunten.
Wettelijke zorgplicht IT-leveranciers
Als IT-leverancier heb je een wettelijke zorgplicht naar je klanten toe. Deze verplichting houdt in dat je je tijdens de uitvoering van de werkzaamheden moet gedragen als een goed opdrachtnemer, zoals vastgelegd in artikel 7:401 BW. De omvang van deze zorgplicht verschilt per situatie en hangt onder meer af van de aard en omvang van de werkzaamheden.
Bovendien hebben IT-leveranciers vaak een verhoogde zorgplicht vanwege hun expertise ten opzichte van de klant. Deze bijzondere zorgplicht omvat niet alleen het leveren van goede diensten, maar ook het verstrekken van uitgebreide informatie en het waarschuwen voor mogelijke risico’s. In de rechtspraak is erkend dat de invulling van deze zorgplicht afhangt van de zorgvuldigheid en deskundigheid die van een redelijk handelende en bekwame IT-leverancier wordt verwacht.
Tip: documenteer gesprekken met je klanten waarin je hen informeert over mogelijke risico’s en/of waarschuwingen (just in case).
Aansprakelijkheid voorkomen als IT-leverancier
Om te voorkomen dat je als IT-leverancier verantwoordelijk wordt gehouden voor problemen bij de klant, is het cruciaal om duidelijkheid te scheppen over de verwachtingen die jouw klant mag hebben.
Een goed gedefinieerde opdracht is hierbij van groot belang. Zorg ervoor dat je duidelijk afbakent wat wel en niet onder jouw verantwoordelijkheid valt. Maak daarom in de IT-overeenkomst heldere afspraken, waarin niet alleen staat wat je gaat doen, maar ook wat je niet gaat doen. Voorbeelden:
- Mag de klant verwachten dat je back-ups maakt? En zo ja, met welke frequentie en hoe worden deze bewaard?
- Welke beveiligingsmaatregelen mag de klant van je verwachten? Wordt er bijvoorbeeld gebruik gemaakt van encryptie, firewalls, of antivirussoftware?
- Hoe worden eventuele software-updates of patches uitgevoerd?
- Wie is verantwoordelijk voor het monitoren en oplossen van eventuele beveiligingslekken?
- Hoe worden eventuele onderhoudswerkzaamheden aan systemen of netwerken uitgevoerd?
- Hoe wordt omgegaan met vertrouwelijke gegevens en privacybescherming?
- Wat zijn de procedures en verantwoordelijkheden in geval van een datalek?
Algemene voorwaarden voor IT-leveranciers
Natuurlijk is het ook belangrijk om, naast een duidelijke opdrachtovereenkomst of SaaS-overeenkomst, scherpe algemene voorwaarden te gebruiken waarin je jouw aansprakelijkheid zo veel mogelijk beperkt. Je wilt in ieder geval je aansprakelijkheid voor indirecte schade hebben uitgesloten en beperkingen hebben gesteld aan de hoogte van eventuele schadevergoedingen. Ook is het slim om een bepaling op te nemen over overmachtsituaties en de daaruit voortvloeiende gevolgen voor de uitvoering van de overeenkomst.
Praktische tips om je aansprakelijkheid te beperken:
- Documenteer nauwkeurig alle adviezen en waarschuwingen die je aan je klant geeft met betrekking tot cybersecurity.
- Leg afspraken over beveiligingsmaatregelen vast in een verwerkersovereenkomst.
- Communiceer herhaaldelijk en in duidelijke taal met je klanten over de mogelijke cyberrisico’s, de noodzakelijke maatregelen en de rol die zij en jij hierin spelen.
- Als een klant de ernst van de situatie niet erkent, zorg dan voor een schriftelijke bevestiging waarin staat dat je niet verantwoordelijk bent voor mogelijke gevolgen.
Zorgplicht onder NIS2
Er staat belangrijke nieuwe cybersecurity-wetgeving vanuit de EU op het punt om van kracht te worden. Met de invoering van wetten zoals NIS2 zullen aanzienlijk meer leveranciers van hard- en software onder strengere regelgeving vallen. Een essentieel aspect van de NIS2-richtlijn is de uitbreiding van de zorgplicht voor IT-leveranciers. Onze legal counsels houden deze ontwikkelingen nauwlettend in de gaten.
Weet je niet zeker of de NIS2 ook van toepassing gaat zijn op jouw bedrijf? Dan kun je deze tool gebruiken.
Juridisch advies over IT-recht
Onze juristen zijn gespecialiseerd in het IT-recht en helpen regelmatig IT-leveranciers bij het beperken van hun aansprakelijkheid. In een tijd waarin cybersecurity een steeds grotere rol speelt, is het essentieel voor tech-ondernemers om hier meer aandacht aan te besteden.
Onze hulp nodig? Neem gerust contact met ons op voor een vrijblijvende kennismaking.