Beperk je aansprakelijkheidsrisico's

ICT-leveranciers hebben een zorgplicht naar hun klant. Zeven tips om aansprakelijkheidsrisico’s te beperken van chubb vind je hier.

Automatiseerders wacht stortvloed aan claims om schade door hackers, zo kopte het FD in juni. De aanleiding? Een oordeel van een rechter dat een ICT-leverancier wegens tekortschietende beveiliging bij zijn klant aansprakelijk was voor de gevolgen van een ransomware-aanval. Deze uitspraak kan grote gevolgen hebben voor de zorgplicht en aansprakelijkheidsrisico’s van ICT-bedrijven. Wat te doen om risico’s te beperken?

De gerechtelijke uitspraak dateerde uit 2018, maar werd onlangs pas gepubliceerd. Het betrof een zaak waarbij een ICT-bedrijf zijn klant, een klein administratiekantoor, had geadviseerd om aanvullende beveiligingsmaatregelen te nemen, zoals een firewall en back-ups op losse harde schijven. De klant weigerde deze maatregelen vanwege de kosten; dit werd echter niet schriftelijk vastgelegd. Het netwerk werd opgeleverd zonder firewall en externe back-up.

 

Later werd het administratiekantoor getroffen door een ransomware-aanval; het moest enkele duizenden euro’s in bitcoins betalen om weer toegang te krijgen tot zijn bestanden. De rechter oordeelde dat de ICT-leverancier aansprakelijk was: deze had zijn klant explicieter moeten waarschuwen voor de risico’s of de opdracht zelfs terug moeten geven vanwege onuitvoerbaarheid. Het ICT-bedrijf moest dan ook het grootste deel van de schade als gevolg van de ransomware-aanval vergoeden.

Wat kunnen ICT-bedrijven doen om hun aansprakelijkheidsrisico’s te beperken? 7 Tips:

  1. Bied altijd het hoogst mogelijke niveau van beveiliging en redundantie aan
    Denk ook aan data recovery plans en business continuity plans. Deze maatregel is voor ieder ICT-bedrijf van belang, maar zeker voor ICT-dienstverleners zoals SaaS-providers en MSSP’s, die volledig verantwoordelijk zijn voor alles wat er gebeurt.
  2. Houd rekening met het kennisniveau van je klanten
    Dit heeft gevolgen voor jouw zorgplicht als ICT-bedrijf. Heeft het bedrijf bijvoorbeeld zelf een IT-specialist in dienst?
  3. Waarschuw voor de gevolgen van niet implementeren van belangrijke beveiligingsmaatregelen
    Leg het schriftelijk vast als een klant belangrijke geadviseerde beveiligingsmaatregelen niet wil implementeren. Doe dit niet alleen voor de start van een project, maar herhaaldelijk.
  4. Overweeg het contract te weigeren
    Blijkt het minimale beveiligingsniveau niet haalbaar? Overweeg het contract te weigeren.
  5. Kijk goed naar je contracten
    Zorg voor een volledig en helder contract, met daarin afspraken over bijvoorbeeld beveiligingsniveau, oplevertijd, intellectueel eigendom en aansprakelijkheid. Schakel een deskundige jurist in voor algemene leveringsvoorwaarden. Zie ook: Uit de schadepraktijk: acht tips voor IT-bedrijven.
  6. Onderhandel over garantieafspraken, vrijwarings- en schadeloosstellingsbedingen
    Een aantal van deze zaken zal niet gedekt zijn onder een aansprakelijkheidsverzekering. Ook kleine ondernemingen kunnen onderhandelen over gunstigere leveringsvoorwaarden, zelfs met grote opdrachtgevers.
  7. Maak duidelijk voor welke omgevingen jouw diensten geschikt zijn
    Informeer je klanten duidelijk voor welke omgevingen jouw platform of diensten geschikt zijn en welk type gegevens en applicaties wel én niet verwerkt mogen worden.

 

 

 

 

 

Hiernaast is het natuurlijk essentieel om je (beroeps)aansprakelijkheidsrisico’s in kaart te brengen en in overleg met een interne expert of externe juridisch adviseur, financieel adviseur of verzekeraar te bekijken welke maatregelen je kunt nemen om deze te beperken. Voer daarnaast ook voor ieder project een risicoanalyse uit (welke beveiligings- en aansprakelijkheidsrisico’s zijn er en wat zou het minimale beveiligingsniveau moeten zijn?).

 

 

 

 

Allround Benefits
  • Rotterdamseweg 61
  • 3332 AC Zwijndrecht
  • 078 - 620 10 00
  • info@allroundbenefits.nl
  • © Allround Benefits 2019