ICT-leveranciers hebben een zorgplicht naar hun klant. Zeven tips om aansprakelijkheidsrisico’s te beperken van chubb vind je hier.
Automatiseerders wacht stortvloed aan claims om schade door hackers, zo kopte het FD in juni. De aanleiding? Een oordeel van een rechter dat een ICT-leverancier wegens tekortschietende beveiliging bij zijn klant aansprakelijk was voor de gevolgen van een ransomware-aanval. Deze uitspraak kan grote gevolgen hebben voor de zorgplicht en aansprakelijkheidsrisico’s van ICT-bedrijven. Wat te doen om risico’s te beperken?
De gerechtelijke uitspraak dateerde uit 2018, maar werd onlangs pas gepubliceerd. Het betrof een zaak waarbij een ICT-bedrijf zijn klant, een klein administratiekantoor, had geadviseerd om aanvullende beveiligingsmaatregelen te nemen, zoals een firewall en back-ups op losse harde schijven. De klant weigerde deze maatregelen vanwege de kosten; dit werd echter niet schriftelijk vastgelegd. Het netwerk werd opgeleverd zonder firewall en externe back-up.
Later werd het administratiekantoor getroffen door een ransomware-aanval; het moest enkele duizenden euro’s in bitcoins betalen om weer toegang te krijgen tot zijn bestanden. De rechter oordeelde dat de ICT-leverancier aansprakelijk was: deze had zijn klant explicieter moeten waarschuwen voor de risico’s of de opdracht zelfs terug moeten geven vanwege onuitvoerbaarheid. Het ICT-bedrijf moest dan ook het grootste deel van de schade als gevolg van de ransomware-aanval vergoeden.
Hiernaast is het natuurlijk essentieel om je (beroeps)aansprakelijkheidsrisico’s in kaart te brengen en in overleg met een interne expert of externe juridisch adviseur, financieel adviseur of verzekeraar te bekijken welke maatregelen je kunt nemen om deze te beperken. Voer daarnaast ook voor ieder project een risicoanalyse uit (welke beveiligings- en aansprakelijkheidsrisico’s zijn er en wat zou het minimale beveiligingsniveau moeten zijn?).