Zoeken
Sluit dit zoekvak.
Foto van mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Zorgplicht en cybersecurity: als IT-leverancier je aansprakelijkheid beperken

Cyberaanvallen komen steeds vaker voor en leiden ook steeds vaker tot juridische claims. Het is echter zeldzaam dat cybercriminelen worden opgespoord en ter verantwoording worden geroepen. Aan de andere kant worden IT-professionals steeds vaker bekritiseerd omdat zij mogelijk niet hebben voldaan aan hun ‘zorgplicht’.  Dit vergroot het risico op aansprakelijkheid voor IT-serviceproviders wanneer hun klanten het slachtoffer worden van een cyberaanval.

Hoe beperk je, als IT-leverancier, nou je aansprakelijkheid in dit verband? In deze blog bespreken we een aantal aandachtspunten. 

Wettelijke zorgplicht IT-leveranciers

Als IT-leverancier heb je een wettelijke zorgplicht naar je klanten toe. Deze verplichting houdt in dat je je tijdens de uitvoering van de werkzaamheden moet gedragen als een goed opdrachtnemer, zoals vastgelegd in artikel 7:401 BW. De omvang van deze zorgplicht verschilt per situatie en hangt onder meer af van de aard en omvang van de werkzaamheden.

 Bovendien hebben IT-leveranciers vaak een verhoogde zorgplicht vanwege hun expertise ten opzichte van de klant. Deze bijzondere zorgplicht omvat niet alleen het leveren van goede diensten, maar ook het verstrekken van uitgebreide informatie en het waarschuwen voor mogelijke risico’s. In de rechtspraak is erkend dat de invulling van deze zorgplicht afhangt van de zorgvuldigheid en deskundigheid die van een redelijk handelende en bekwame IT-leverancier wordt verwacht.

Tip: documenteer gesprekken met je klanten waarin je hen informeert over mogelijke risico’s en/of waarschuwingen (just in case). 

Aansprakelijkheid voorkomen als IT-leverancier

Om te voorkomen dat je als IT-leverancier verantwoordelijk wordt gehouden voor problemen bij de klant, is het cruciaal om duidelijkheid te scheppen over de verwachtingen die jouw klant mag hebben.

Een goed gedefinieerde opdracht is hierbij van groot belang. Zorg ervoor dat je duidelijk afbakent wat wel en niet onder jouw verantwoordelijkheid valt. Maak daarom in de IT-overeenkomst heldere afspraken, waarin niet alleen staat wat je gaat doen, maar ook wat je niet gaat doen. Voorbeelden:

  • Mag de klant verwachten dat je back-ups maakt? En zo ja, met welke frequentie en hoe worden deze bewaard?
  • Welke beveiligingsmaatregelen mag de klant van je verwachten? Wordt er bijvoorbeeld gebruik gemaakt van encryptie, firewalls, of antivirussoftware?
  • Hoe worden eventuele software-updates of patches uitgevoerd?
  • Wie is verantwoordelijk voor het monitoren en oplossen van eventuele beveiligingslekken?
  • Hoe worden eventuele onderhoudswerkzaamheden aan systemen of netwerken uitgevoerd?
  • Hoe wordt omgegaan met vertrouwelijke gegevens en privacybescherming?
  • Wat zijn de procedures en verantwoordelijkheden in geval van een datalek?

Algemene voorwaarden voor IT-leveranciers

Natuurlijk is het ook belangrijk om, naast een duidelijke opdrachtovereenkomst of SaaS-overeenkomst, scherpe algemene voorwaarden te gebruiken waarin je jouw aansprakelijkheid zo veel mogelijk beperkt. Je wilt in ieder geval je aansprakelijkheid voor indirecte schade hebben uitgesloten en beperkingen hebben gesteld aan de hoogte van eventuele schadevergoedingen. Ook is het slim om een bepaling op te nemen over overmachtsituaties en de daaruit voortvloeiende gevolgen voor de uitvoering van de overeenkomst. 

Praktische tips om je aansprakelijkheid te beperken:

  • Documenteer nauwkeurig alle adviezen en waarschuwingen die je aan je klant geeft met betrekking tot cybersecurity.
  • Leg afspraken over beveiligingsmaatregelen vast in een verwerkersovereenkomst.
  • Communiceer herhaaldelijk en in duidelijke taal met je klanten over de mogelijke cyberrisico’s, de noodzakelijke maatregelen en de rol die zij en jij hierin spelen.
  • Als een klant de ernst van de situatie niet erkent, zorg dan voor een schriftelijke bevestiging waarin staat dat je niet verantwoordelijk bent voor mogelijke gevolgen.

Zorgplicht onder NIS2

Er staat belangrijke nieuwe cybersecurity-wetgeving vanuit de EU op het punt om van kracht te worden. Met de invoering van wetten zoals NIS2 zullen aanzienlijk meer leveranciers van hard- en software onder strengere regelgeving vallen. Een essentieel aspect van de NIS2-richtlijn is de uitbreiding van de zorgplicht voor IT-leveranciers. Onze legal counsels houden deze ontwikkelingen nauwlettend in de gaten.

Weet je niet zeker of de NIS2 ook van toepassing gaat zijn op jouw bedrijf? Dan kun je deze tool gebruiken.

Juridisch advies over IT-recht

Onze juristen zijn gespecialiseerd in het IT-recht en helpen regelmatig IT-leveranciers bij het beperken van hun aansprakelijkheid. In een tijd waarin cybersecurity een steeds grotere rol speelt, is het essentieel voor tech-ondernemers om hier meer aandacht aan te besteden.

Onze hulp nodig? Neem gerust contact met ons op voor een vrijblijvende kennismaking.

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).